Zwei Hacker haben am vergangenen Freitag auf einer Konferenz in Südamerika ein Sicherheitsproblem in ASP.Net enthüllt - am Beispiel von DotNetNuke haben sie sich innerhalb weniger Minuten sich damit als Superuser ("Host") einloggen und weitere Software ausführen können. Betroffen sind fast alle ASP.Net Anwendungen.
Betreiber einer DotNetNuke-Installation sollen folgende Aktionen schnellstmöglicht ausführen:
1. In den DotNetNuke Systemeinstellungen prüfen, welche .Net Version verwendet wird.
a. Für Framework 2.0:
2. in der Web.config die Zeile suchen die mit <customErrors beginnt und durch folgende Zeile ersetzen:
<customErrors mode="On" defaultRedirect="~/error.html" />
3. Im Rootverzeichnis eine Datei error.html anlegen (Muster siehe Link)
b. Für Framework 3.5 SP 1 und 4.0:
2. in der Web.config die Zeile suchen die mit <customErrors beginnt und durch folgende Zeile ersetzen:
<customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/error.aspx" />
3. Im Rootverzeichnis eine Datei error.aspx anlegen, gemäß Muster siehe Link.
Die ASP.Net-Entwickler bei Microsoft arbeiten derzeit mit Hochdruck an einem Fix, um die Lücke dauerhaft zu schließen.
Nachtrag: die Änderungen sind mittlerweile obsolet, bitte die .Net Sicherheits-Updates einspielen!