ASP.NET 취약점을 해결하기 위한 보안 업데이트가 발표되었습니다. 윈도 기반의 IIS 웹 서비스를 운영하는 경우에는 반드시 패치하시기 바랍니다.

참고로 취약점의 위험도는 중요(Important)로 분류되고 있습니다.

http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx

끝.

===================== 원문 (2보) ====================
마이크로소프트는 9월 28일 오전 10시(PDT 기준) 경에 ASP.NET에 관련된 취약점을 해결하기 위한 긴급 보안 패치를 공개하기로 하였습니다.

출처: http://blogs.technet.com/b/msrc/archive/2010/09/27/out-of-band-release-to-address-microsoft-security-advisory-2416728.aspx

===================== 원문 (2보) ====================
마이크로소프트는 9월 24일에 ASP.NET 취약점을 차단할 수 있는 보안 업데이트를 개발하고 있는 중이며, 다만 이 문제점을 보완할 수 있는 대안을 추가적으로 발표했습니다.

대안으로는 URLScan 이라고 하는 IIS에 관련된 ISAPI 필터 프로그램을 이용하는 것입니다. 참, 무료입니다.


주의: URLScan의 최신 버전은 3.1 이며 이는 IIS v5.1+에서만 동작합니다. 따라서, 하위 IIS에서 이용하기 위해서는 URLScan 2.5 나 3.0을 이용해야 할 수도 있으므로 정확히 확인하신 후에 사용하시기 바랍니다.

URLScan을 설치하고 나서 환경 설정 파일에서 아래와 같이 섹션 및 문장을 추가합니다.

[DenyQueryStringSequence]
aspxerrorpath=

보다 자세한 사항은 아래 링크를 참고하십시오.

출처: http://weblogs.asp.net/scottgu/archive/2010/09/24/update-on-asp-net-vulnerability.aspx

끝.

===================== 원문 (1보) ====================
마이크로소프트는 윈도우 운영체제에서 웹서비스의 일부분으로 제공하는 ASP.NET의 취약점에 대한 사항을 정리하여 공개했습니다.

이 취약점은 Microsoft Security Advisory (2416728) 또는 CVE-2010-3332 로 이름붙여진 상태입니다.

이 취약점은 .NET FrameWork가 지원되는 IIS 버전에서 발생하며, 윈도우 XP/Vista/7과 같은 클라이언트 운영체제 뿐만 아니라 Windows 2003/2008/2008R2에서도 문제가 있습니다. 다만 Windows 2000 운영체제에서는 문제가 발생하지 않습니다.

이 취약점을 통해 웹서버에서 암호화되어 전송되는 View State(__VIEWSTATE)와 같은 데이터를 공격자가 알아 낼 수 있습니다. 또한, 웹 서버에 저장된 파일 - 예를 들어 ASP.NET의 환경 설정 파일인 web.conifg - 을 읽을 수 있습니다.



이렇게 암호화된 데이터를 예상하여 알아내는 기술을 패딩 오라클(padding oracle) 기법이라고 하며, 최근에 이에 대한 뉴스가 잠시 나온 적이 있어 ASP.NET에 관련된 무언가에 대한 문제점이 있다는 추측이 나오기도 했습니다.

현재까지 이 취약점을 이용하여 공격하는 코드가 출현했다는 보고는 들어오고 있지 않지만, 나타날 가능성도 배제할 수는 없습니다.

마이크로소프트는 이 문제점을 해결하기 위해 조사를 진행 중에 있으며, 대안으로는 오류 페이지를 하나로 통일하여 보여 주는 방식이 유일한 것으로 알려져 있습니다.

아래 코드는 web.config 파일과 C#으로 작성된 ErrorPage.aspx 예제입니다.

<configuration>
 <location allowOverride="false">
   <system.web>
     <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/ErrorPage.aspx" />
   </system.web>
 </location>
</configuration>


<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>

<script runat="server">
        void Page_Load() {
        byte[] delay = new byte[1];
        RandomNumberGenerator prng = new RNGCryptoServiceProvider();

        prng.GetBytes(delay);
        Thread.Sleep((int)delay[0]);
       
        IDisposable disposable = prng as IDisposable;
        if (disposable != null) { disposable.Dispose(); }
    }
</script>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
    <title></title>
</head>
<body>
    <div>
        An error occurred while processing your request.
    </div>
</body>

보다 자세한 자료는 MS의 기술 자료를 참고하십시오.

https://www.microsoft.com/technet/security/advisory/2416728.mspx

이 취약점에 대한 공격코드가 아직 나타나지 않은 점에 대해 안도해야 할 수도 있을 것입니다. 만약, 공격코드가 있다면 전세계 수백, 수천만대의 웹서버가 위험에 처해질 수도 있는 매우 광범위하게 피해를 입힐 수 있는 문제점이기 때문입니다.

감사합니다.

2010년 9월 20일자로 마이크로소프트는 해당 취약점을 통해 제한적이지만 실제적으로 공격이 가능하다는 연구 결과를 발표했습니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    마이크로소프트는 9월 28일 오전 10시(PDT 기준) 경에 ASP.NET에 관련된 취약점을 해결하기 위한 긴급 보안 패치를 공개하기로 하였습니다.

    출처: http://blogs.technet.com/b/msrc/archive/2010/09/27/out-of-band-release-to-address-microsoft-security-advisory-2416728.aspx

    ===================== 원문 (2보) ====================
    마이크로소프트는 9월 24일에 ASP.NET 취약점을 차단할 수 있는 보안 업데이트를 개발하고 있는 중이며, 다만 이 문제점을 보완할 수 있는 대안을 추가적으로 발표했습니다.

    대안으로는 URLScan 이라고 하는 IIS에 관련된 ISAPI 필터 프로그램을 이용하는 것입니다. 참, 무료입니다.


    주의: URLScan의 최신 버전은 3.1 이며 이는 IIS v5.1+에서만 동작합니다. 따라서, 하위 IIS에서 이용하기 위해서는 URLScan 2.5 나 3.0을 이용해야 할 수도 있으므로 정확히 확인하신 후에 사용하시기 바랍니다.

    URLScan을 설치하고 나서 환경 설정 파일에서 아래와 같이 섹션 및 문장을 추가합니다.

    [DenyQueryStringSequence]
    aspxerrorpath=

    보다 자세한 사항은 아래 링크를 참고하십시오.

    출처: http://weblogs.asp.net/scottgu/archive/2010/09/24/update-on-asp-net-vulnerability.aspx

    끝.

    ===================== 원문 (1보) ====================
    마이크로소프트는 윈도우 운영체제에서 웹서비스의 일부분으로 제공하는 ASP.NET의 취약점에 대한 사항을 정리하여 공개했습니다.

    이 취약점은 Microsoft Security Advisory (2416728) 또는 CVE-2010-3332 로 이름붙여진 상태입니다.

    이 취약점은 .NET FrameWork가 지원되는 IIS 버전에서 발생하며, 윈도우 XP/Vista/7과 같은 클라이언트 운영체제 뿐만 아니라 Windows 2003/2008/2008R2에서도 문제가 있습니다. 다만 Windows 2000 운영체제에서는 문제가 발생하지 않습니다.

    이 취약점을 통해 웹서버에서 암호화되어 전송되는 View State(__VIEWSTATE)와 같은 데이터를 공격자가 알아 낼 수 있습니다. 또한, 웹 서버에 저장된 파일 - 예를 들어 ASP.NET의 환경 설정 파일인 web.conifg - 을 읽을 수 있습니다.



    이렇게 암호화된 데이터를 예상하여 알아내는 기술을 패딩 오라클(padding oracle) 기법이라고 하며, 최근에 이에 대한 뉴스가 잠시 나온 적이 있어 ASP.NET에 관련된 무언가에 대한 문제점이 있다는 추측이 나오기도 했습니다.

    현재까지 이 취약점을 이용하여 공격하는 코드가 출현했다는 보고는 들어오고 있지 않지만, 나타날 가능성도 배제할 수는 없습니다.

    마이크로소프트는 이 문제점을 해결하기 위해 조사를 진행 중에 있으며, 대안으로는 오류 페이지를 하나로 통일하여 보여 주는 방식이 유일한 것으로 알려져 있습니다.

    아래 코드는 web.config 파일과 C#으로 작성된 ErrorPage.aspx 예제입니다.

    <configuration>
     <location allowOverride="false">
       <system.web>
         <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/ErrorPage.aspx" />
       </system.web>
     </location>
    </configuration>


    <%@ Page Language="C#" AutoEventWireup="true" %>
    <%@ Import Namespace="System.Security.Cryptography" %>
    <%@ Import Namespace="System.Threading" %>

    <script runat="server">
            void Page_Load() {
            byte[] delay = new byte[1];
            RandomNumberGenerator prng = new RNGCryptoServiceProvider();

            prng.GetBytes(delay);
            Thread.Sleep((int)delay[0]);
           
            IDisposable disposable = prng as IDisposable;
            if (disposable != null) { disposable.Dispose(); }
        }
    </script>

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

    <html xmlns="http://www.w3.org/1999/xhtml">
    <head runat="server">
        <title></title>
    </head>
    <body>
        <div>
            An error occurred while processing your request.
        </div>
    </body>

    보다 자세한 자료는 MS의 기술 자료를 참고하십시오.

    https://www.microsoft.com/technet/security/advisory/2416728.mspx

    이 취약점에 대한 공격코드가 아직 나타나지 않은 점에 대해 안도해야 할 수도 있을 것입니다. 만약, 공격코드가 있다면 전세계 수백, 수천만대의 웹서버가 위험에 처해질 수도 있는 매우 광범위하게 피해를 입힐 수 있는 문제점이기 때문입니다.

    감사합니다.

    2010년 9월 20일자로 마이크로소프트는 해당 취약점을 통해 제한적이지만 실제적으로 공격이 가능하다는 연구 결과를 발표했습니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      마이크로소프트는 9월 24일에 ASP.NET 취약점을 차단할 수 있는 보안 업데이트를 개발하고 있는 중이며, 다만 이 문제점을 보완할 수 있는 대안을 추가적으로 발표했습니다.

      대안으로는 URLScan 이라고 하는 IIS에 관련된 ISAPI 필터 프로그램을 이용하는 것입니다. 참, 무료입니다.


      주의: URLScan의 최신 버전은 3.1 이며 이는 IIS v5.1+에서만 동작합니다. 따라서, 하위 IIS에서 이용하기 위해서는 URLScan 2.5 나 3.0을 이용해야 할 수도 있으므로 정확히 확인하신 후에 사용하시기 바랍니다.

      URLScan을 설치하고 나서 환경 설정 파일에서 아래와 같이 섹션 및 문장을 추가합니다.

      [DenyQueryStringSequence]
      aspxerrorpath=

      보다 자세한 사항은 아래 링크를 참고하십시오.

      출처: http://weblogs.asp.net/scottgu/archive/2010/09/24/update-on-asp-net-vulnerability.aspx

      끝.

      ===================== 원문 (1보) ====================
      마이크로소프트는 윈도우 운영체제에서 웹서비스의 일부분으로 제공하는 ASP.NET의 취약점에 대한 사항을 정리하여 공개했습니다.

      이 취약점은 Microsoft Security Advisory (2416728) 또는 CVE-2010-3332 로 이름붙여진 상태입니다.

      이 취약점은 .NET FrameWork가 지원되는 IIS 버전에서 발생하며, 윈도우 XP/Vista/7과 같은 클라이언트 운영체제 뿐만 아니라 Windows 2003/2008/2008R2에서도 문제가 있습니다. 다만 Windows 2000 운영체제에서는 문제가 발생하지 않습니다.

      이 취약점을 통해 웹서버에서 암호화되어 전송되는 View State(__VIEWSTATE)와 같은 데이터를 공격자가 알아 낼 수 있습니다. 또한, 웹 서버에 저장된 파일 - 예를 들어 ASP.NET의 환경 설정 파일인 web.conifg - 을 읽을 수 있습니다.



      이렇게 암호화된 데이터를 예상하여 알아내는 기술을 패딩 오라클(padding oracle) 기법이라고 하며, 최근에 이에 대한 뉴스가 잠시 나온 적이 있어 ASP.NET에 관련된 무언가에 대한 문제점이 있다는 추측이 나오기도 했습니다.

      현재까지 이 취약점을 이용하여 공격하는 코드가 출현했다는 보고는 들어오고 있지 않지만, 나타날 가능성도 배제할 수는 없습니다.

      마이크로소프트는 이 문제점을 해결하기 위해 조사를 진행 중에 있으며, 대안으로는 오류 페이지를 하나로 통일하여 보여 주는 방식이 유일한 것으로 알려져 있습니다.

      아래 코드는 web.config 파일과 C#으로 작성된 ErrorPage.aspx 예제입니다.

      <configuration>
       <location allowOverride="false">
         <system.web>
           <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/ErrorPage.aspx" />
         </system.web>
       </location>
      </configuration>


      <%@ Page Language="C#" AutoEventWireup="true" %>
      <%@ Import Namespace="System.Security.Cryptography" %>
      <%@ Import Namespace="System.Threading" %>

      <script runat="server">
              void Page_Load() {
              byte[] delay = new byte[1];
              RandomNumberGenerator prng = new RNGCryptoServiceProvider();

              prng.GetBytes(delay);
              Thread.Sleep((int)delay[0]);
             
              IDisposable disposable = prng as IDisposable;
              if (disposable != null) { disposable.Dispose(); }
          }
      </script>

      <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

      <html xmlns="http://www.w3.org/1999/xhtml">
      <head runat="server">
          <title></title>
      </head>
      <body>
          <div>
              An error occurred while processing your request.
          </div>
      </body>

      보다 자세한 자료는 MS의 기술 자료를 참고하십시오.

      https://www.microsoft.com/technet/security/advisory/2416728.mspx

      이 취약점에 대한 공격코드가 아직 나타나지 않은 점에 대해 안도해야 할 수도 있을 것입니다. 만약, 공격코드가 있다면 전세계 수백, 수천만대의 웹서버가 위험에 처해질 수도 있는 매우 광범위하게 피해를 입힐 수 있는 문제점이기 때문입니다.

      감사합니다.

      2010년 9월 20일자로 마이크로소프트는 해당 취약점을 통해 제한적이지만 실제적으로 공격이 가능하다는 연구 결과를 발표했습니다.

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        마이크로소프트는 윈도우 운영체제에서 웹서비스의 일부분으로 제공하는 ASP.NET의 취약점에 대한 사항을 정리하여 공개했습니다.

        이 취약점은 Microsoft Security Advisory (2416728) 또는 CVE-2010-3332 로 이름붙여진 상태입니다.

        이 취약점은 .NET FrameWork가 지원되는 IIS 버전에서 발생하며, 윈도우 XP/Vista/7과 같은 클라이언트 운영체제 뿐만 아니라 Windows 2003/2008/2008R2에서도 문제가 있습니다. 다만 Windows 2000 운영체제에서는 문제가 발생하지 않습니다.

        이 취약점을 통해 웹서버에서 암호화되어 전송되는 View State(__VIEWSTATE)와 같은 데이터를 공격자가 알아 낼 수 있습니다. 또한, 웹 서버에 저장된 파일 - 예를 들어 ASP.NET의 환경 설정 파일인 web.conifg - 을 읽을 수 있습니다.



        이렇게 암호화된 데이터를 예상하여 알아내는 기술을 패딩 오라클(padding oracle) 기법이라고 하며, 최근에 이에 대한 뉴스가 잠시 나온 적이 있어 ASP.NET에 관련된 무언가에 대한 문제점이 있다는 추측이 나오기도 했습니다.

        현재까지 이 취약점을 이용하여 공격하는 코드가 출현했다는 보고는 들어오고 있지 않지만, 나타날 가능성도 배제할 수는 없습니다.

        마이크로소프트는 이 문제점을 해결하기 위해 조사를 진행 중에 있으며, 대안으로는 오류 페이지를 하나로 통일하여 보여 주는 방식이 유일한 것으로 알려져 있습니다.

        아래 코드는 web.config 파일과 C#으로 작성된 ErrorPage.aspx 예제입니다.

        <configuration>
         <location allowOverride="false">
           <system.web>
             <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/ErrorPage.aspx" />
           </system.web>
         </location>
        </configuration>


        <%@ Page Language="C#" AutoEventWireup="true" %>
        <%@ Import Namespace="System.Security.Cryptography" %>
        <%@ Import Namespace="System.Threading" %>

        <script runat="server">
                void Page_Load() {
                byte[] delay = new byte[1];
                RandomNumberGenerator prng = new RNGCryptoServiceProvider();

                prng.GetBytes(delay);
                Thread.Sleep((int)delay[0]);
               
                IDisposable disposable = prng as IDisposable;
                if (disposable != null) { disposable.Dispose(); }
            }
        </script>

        <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

        <html xmlns="http://www.w3.org/1999/xhtml">
        <head runat="server">
            <title></title>
        </head>
        <body>
            <div>
                An error occurred while processing your request.
            </div>
        </body>

        보다 자세한 자료는 MS의 기술 자료를 참고하십시오.

        https://www.microsoft.com/technet/security/advisory/2416728.mspx

        이 취약점에 대한 공격코드가 아직 나타나지 않은 점에 대해 안도해야 할 수도 있을 것입니다. 만약, 공격코드가 있다면 전세계 수백, 수천만대의 웹서버가 위험에 처해질 수도 있는 매우 광범위하게 피해를 입힐 수 있는 문제점이기 때문입니다.

        감사합니다.

        2010년 9월 20일자로 마이크로소프트는 해당 취약점을 통해 제한적이지만 실제적으로 공격이 가능하다는 연구 결과를 발표했습니다.

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus


          Web Analytics Blogs Directory