àˆ stata scoperta una vulnerabilità che affligge tutte le versioni di ASP.NET che potrebbe consentire ad un attaccante di carpire informazioni riservate dalle vostre applicazioni ASP.NET, come ad esempio quelle memorizzate nel file di configurazione (Web.config).
Sul blog di Scott Guthrie troviamo un dettagliato post che spiega questa seria vulnerabilità e illustra anche un semplice rimedio da attuare per mitigare la falla.
In breve la vulnerabilità consiste nella possibilità di interpretare i messaggi di errore con cui l'applicazione ASP.NET risponde all'invio di codice cifrato per capire quando è stato decodificato correttamente e quindi dedurre da questo la chiave di cifratura. L'attacco può essere respinto semplicemente istruendo ASP.NET a rispondere sempre con la stessa pagina di errore, senza quindi dare alcuna indicazione all'ipotetico attaccante sul codice d'errore generato e quindi sulla possibilità di aver individuato con successo la chiave di decriptazione.
In attesa di una patch è opportuno quindi correre ai ripari seguendo le indicazioni di Scott Guthrie e utilizzando lo script VBS messo a disposizione per individuare tutte le applicazioni ASP.NET del proprio server ancora vulnerabili.
