Alfonso Maruccia

ASP.NET, una patch d'emergenza

Microsoft distribuisce la pezza per una falla recentemente individuata. Gli attacchi avevano iniziato a fioccare. Ma la falla è strutturale, e non riguarda solo il framework di Redmond

Roma - In una mossa alquanto inusuale per le metodologie con cui a Redmond sono soliti gestire le vulnerabilità dei software e dei sistemi operativi, nelle scorse ore Microsoft ha distribuito una patch di sicurezza straordinaria pensata per chiudere un buco individuato nel framework di sviluppo web ASP.NET e fermare gli attacchi registrati nel corso dell'ultima settimana.

La falla è stata in precedenza descritta nell'advisory numero 2416728, mentre la patch ora pubblicata con il bollettino MS10-070 rende di fatto inutili le soluzioni tampone indicate nel suddetto advisory. La principale particolarità della patch, comunque, risiede nel fatto che essa si riferisca a una vulnerabilità classificata come "importante" dai tecnici di Redmond, mentre in genere le pezze rilasciate fuori dal tradizionale ciclo del secondo martedì del mese riguardano solo vulnerabilità "critiche".

Il problema affrontato - e augurabilmente risolto - dal bollettino MS10-070 riguarda il sistema di cifratura dei dati impiegato da ASP.NET, un meccanismo che per quanto protegga l'integrità delle informazioni può comunicare dati cruciali sulla suddetta cifratura attraverso i messaggi di errore inviati al server. Analizzando tali messaggi - e le informazioni extra inviate agli algoritmi di cifratura per raggiungere il giusto multiplo di 8 o 16 byte - un malintenzionato potrebbe individuare le chiavi necessarie a decifrare i contenuti protetti o anche a codificarne a propria volta.
La falla corretta dalla nuova patch di Microsoft è di quelle di tipo "strutturale", e non coinvolge solo ASP.NET ma anche altri popolari framework di sviluppo telematico come Apache MyFaces e Ruby On Rails, e persino alcuni sistemi CAPTCHA. Il problema è noto sin dal lontano 2002, ma solo da alcuni giorni Microsoft ha registrato una serie di "attacchi limitati" ad ASP.NET che l'hanno spinta a intervenire anzitempo.

E visto che nel mondo Windows le vulnerabilità di sicurezza non sono mai troppe, per una falla che viene corretta un'altra viene disvelata all'interno del componente ActiveX msnetobj.dll. La libreria fa parte dei meccanismi DRM integrati nel sistema operativo ed è pensata per prevenire il salvataggio o la visualizzazione non autorizzata di alcuni file sotto certe condizioni e circostanze limitate. Il DRM protegge i file blindati dagli utenti ma in compenso regala a questi ultimi tre vulnerabilità tre, con altrettante possibilità di attacco tramite denial of service, buffer overflow e/o integer overflow.

Alfonso Maruccia
Notizie collegate
30 Commenti alla Notizia ASP.NET, una patch d'emergenza
Ordina
  • purtroppo nell'SO ciofeca la coperta della sicurezza e corta, copri la testa e escono i piedi.
    Niente di niovo sul fronte della insicurezza compiuteristica Triste
  • ASP.NET... kweekkwweekkk kweekkwweekkk kweekkwweekkk kwkwkwkwkwweeeeeeeekkkk!
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Mi preoccupa molto di più la falla sulla dll piuttosto che quella in ASP.NET.
    non+autenticato
  • - Scritto da: zuzzurro
    > Mi preoccupa molto di più la falla sulla dll
    > piuttosto che quella in
    > ASP.NET.

    Ma non preoccuparti.
    Questa falla esiste solo dal 2002, e non e' neppure l'unica.
    Se volevano entrare nel tuo sistema lo avevano gia' fatto.
    Se sono gia' entrati non te ne sarai neanche accorto.

    In ogni caso c'e' una patch definitiva, ma la M$ ben se ne guarda dal proporla.

    http://www.ubuntu.it/
  • Ehm.. Panda... yu-uh! Sono Zuzzurro, non Dovella!A bocca aperta
    Cmq se non ho letto male la falla esistente dal 2002 è quella su ASP.NET che tra l'altro sembra interessare anche ROR & parenti.

    Chissà ColdFusion... (che ultimamente ha già avuto grane)
    non+autenticato
  • - Scritto da: zuzzurro
    > Ehm.. Panda... yu-uh! Sono Zuzzurro, non Dovella!
    >A bocca aperta

    Va bene, ma la falla c'e' lo stesso!

    > Cmq se non ho letto male la falla esistente dal
    > 2002 è quella su ASP.NET che tra l'altro sembra
    > interessare anche ROR &
    > parenti.

    Una delle tante.

    > Chissà ColdFusion... (che ultimamente ha già
    > avuto grane)
  • che c'entra ubuntu con il framework .net?

    Intendi dire che su mono questo bug non esiste forse?
    non+autenticato
  • non è un bug nemmeno del solo .NET ...
    Cercherò di documentarmi-
    non+autenticato
  • Appunto, non essendoci .N€T il sistema è più sicuro e molto più veloce.
    non+autenticato
  • nono, il .NET c'è pure su linux

    http://www.mono-project.com/Main_Page
    non+autenticato
  • - Scritto da: urrr
    > nono, il .NET c'è pure su linux
    >
    > http://www.mono-project.com/Main_Page
    E' la prima cosa che rimuovo quando installo Ubuntu Occhiolino
    non+autenticato
  • - Scritto da: Il Profeta
    > - Scritto da: urrr
    > > nono, il .NET c'è pure su linux
    > >
    > > http://www.mono-project.com/Main_Page
    > E' la prima cosa che rimuovo quando installo
    > Ubuntu
    >Occhiolino

    La seconda è ubuntu.
    non+autenticato
  • Io devo ancora provarlo... così giusto per curiosità.

    Sviluppo anche in .NET e mi piacerebbe vedere come si comporta mono....

    Qualcuno l'ha provato? Che mi dite al riguardo?Sorride
    non+autenticato
  • Una falla che va, tre falle che vengono...
    non+autenticato
  • 99 little bugs in the code, 99 bugs in the code,
    fix one, compile it again...
    102 little bugs in the code
  • Da quello che ho visto per non essere vulnerabili basta sostituire la pagina di erore 500 con una personalizzata.

    Cosa che fanno cmq tutti i webmaster che siano appena appena decenti (ma anche quelli alle prime armi, solo i superpigri/ragazzini/sparasiti in dotnetnuke non fanno)...

    Ma poi mi spiegate che c'entra ubuntu con il framework asp.net??? O.o
    non+autenticato
  • enn...

    la parte di ubuntu era riferita al thread sotto a questoSorride
    non+autenticato
  • - Scritto da: urrr
    > solo i superpigri/ragazzini/sparasiti in
    > dotnetnuke non
    > fanno)...

    Per forza. L'errore 500 non si presenta MAI quando si usa IIS.
    Piuttosto esplode la sala macchine, ma un messaggio di errore lato server non uscira' mai!
    E se esce, dice che e' colpa del client.
    E se il client e' IE, dice che e' colpa del governo.
    E se il governo e' filo M$, dice che e' colpa dell'opposizione.
    E se anche l'opposizione e' filo M$, allora sono i giudici comunisti!

    > Ma poi mi spiegate che c'entra ubuntu con il
    > framework asp.net???
    > O.o

    Niente! Per nostra fortuna!
  • - Scritto da: urrr
    > la pagina di erore

    Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Serve all'utente?
    No...
    Serve (vedi rootkit sony) ai wirus writer?
    Spesso (sempre più spesso si)...
    Forse è l'acronimo di "Digital Rootkit Management"
    Occhiolino
    non+autenticato
  • Credevo stesse per "Dobbiamo Romprere i Maroni".
  • - Scritto da: Valeren
    > Credevo stesse per "Dobbiamo Romprere i Maroni".
    Una non esclude l'altra!
    Con la lingua fuori
    Sono "compatibili".
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)