微軟安全響應中心今天中午發佈最新安全預警, 提醒廣大ASP.NET用戶防範一處新安全漏洞. 攻擊者可利用存在於ASP.NET加密模塊的一處最新漏洞訪問到包括web.config在內的任何文件. 此漏洞存在於ASP.NET所有已發佈的版本中, 其影響程度不容小視. 目前尚無補丁發佈. 請廣大開發和維護人員加強防範.
據悉, ASP.Net 加密模塊中新公開的漏洞可使攻擊者解密並篡改任意加密數據。 如果 ASP.Net 應用程序使用的是 ASP.Net 3.5 SP1 或更高版本,攻擊者可以使用此加密漏洞請求 ASP.Net 應用程序中的任意文件的內容。 網絡上一些已流傳開的攻擊案例顯示出攻擊者可以利用該加密漏洞獲取 web.config 文件的內容。 實際上一旦攻擊者獲取了web應用程序worker process的訪問權限, 他即有權訪問的應用程序中的任意文件。
有關該漏洞的詳細信息, 請訪問: http://www.microsoft.com/technet/security/advisory/2416728.mspx
轉帖,希望大家都看看。