jueves, 29 de diciembre de 2011

Vulnerabilidad ASP.NET Security Advisory 2659883

El pasado 27 de Diciembre se ha detectado una vulnerabilidad en ASP.NET que permite a un usuario obtener todos los recursos de la máquina pudiendo llegar a provocar una denegación del servicio.

La información oficial del problema la encontraréis en Vulnerability in ASP.NET Could Allow Denial of Service.

Desde el post More information about the December 2011 ASP.Net vulnerability y encontraréis información detallada del problema y cómo solventarlo temporalmente.

La solución ya se ha liberado y estará disponible para descarga desde el servicio de Windows Update o  Micosoft Download Center el 29 de Diciembre sobre las 10 am hora del pacífico.

Una solución temporal consiste en limitar el tamaño máximo de las peticiones que admite ASP.net modificando en el fichero Web.config la propiedad “maxRequestLength” :

en el caso que utilicemos ViewState (por defecto):

<configuration>
<system.web>
<httpRuntime maxRequestLength="200”/>
</system.web>
</configuration>


en el caso que no utilicemos ViewState:


<configuration>
<system.web>
<httpRuntime maxRequestLength="20”/>
</system.web>
</configuration>




Debemos ser consciente que si modificamos la propiedad “maxRequestLength” podremos encontrarnos con alguna contraindicación en el funcionamiento de nuestro servicio, como por ejemplo la subida de ficheros.


Tendremos que realizar antes estos cambios en nuestro entorno de pruebas antes de realizarlo en un entorno productivo o real.


Cuando aparezca el parche lo notificaré desde este mismo post.


No hay comentarios: