Vulnerability in ASP.NET Could Allow Information Disclosure in veste SharePoint 2010
In questi giorni è stato rilevato un problema di sicurezza in ASP.NET che come ben sapete è la base costitutiva della interfaccia utente Web di tutte le versioni SharePoint.
In attesa di una fix strutturale Microsoft ha rilasciato dei workaround per tamponare il problema documentandoli in questa nota tecnica Microsoft Security Advisory (2416728) - Vulnerability in ASP.NET Could Allow Information Disclosure.
Tuttavia in SharePoint 2010 la procedura è lievemente diversa ed occorre seguire questi passi
- Browse to the SharePoint installation directory at %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\14\template\layouts.
- Create a new file called error2.aspx in this directory with the following content:
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
<html>
<head runat="server">
<title>Error</title>
</head>
<body>
<div>
An error occurred while processing your request.
</div>
</body>
</html>
- Navigate to %SystemDrive%\inetpub\wwwroot\wss\virtualdirectories.
- For each subfolder in this directory, do the following:
- Edit web.config
- Find the customErrors node and change it to;
<customErrors mode="On" redirectMode="ResponseRewrite"
defaultRedirect="/_layouts/error2.aspx" />
- Save your changes
- Run iisreset /noforce
Altre informazioni a questi link:
Saluti
Mario Saccoia