Cơn Gió
11-04-2011, 08:37 PM
Microsoft đang điều tra một lỗ hổng bảo mật trong nền ASP.Net của hãng có thể cho phép kẻ tấn công né tránh các tính năng bảo mật tại máy chủ ở môi trường web và xem các nội dung nhạy cảm. Hãng phần mềm Mỹ phát hành một bản khuyến nghị dành cho quản trị các website trên toàn thế giới về lỗi này từ thứ ba tuần trước và cung cấp các hướng dẫn giúp làm giảm tác động của lỗ hổng, nằm trong thành phần “thủ tục tiêu chuẩn” (canonicalization routine) của ASP.Net. Theo Microsoft, những kẻ tấn công có thể tạo ra các URL (uniform resource locator) được thiết kế đặc biệt để khai thác lỗi, cho phép chúng tránh được thủ tục thẩm định hoặc sự cho phép của Windows tại các trang web sử dụng ASP.Net.
ASP.Net là phiên bản mới nhất của công nghệ Active Server Page (ASP). Nó cho phép các nhà phát triển tạo ra những ứng dụng web bằng cách nhúng các chương trình nhỏ viết bằng các ngôn ngữ khác nhau như Visual Basic, Perl và C#, vào trong các trang web rồi truyền đến người dùng. Trong đó, thủ tục tiêu chuẩn là một quy trình dịch các truy vấn URL về nội dung trên máy chủ và quyết định cách thức hợp lý để phúc đáp cho các vấn tin ấy. Ví dụ, có nhiều cách để tham chiếu đến vị trí của một tập tin, chẳng hạn hompage.html trên một web server, và thủ tục tiêu chuẩn sẽ biên dịch thông tin trong mỗi URL để xác định URL đó đang yêu cầu tập tin nào.
Lỗ hổng này ảnh hưởng tới mọi phiên bản của ASP.Net, trong đó có cả các phiên bản đang chạy trên Windows 2000, Windows 2000 Server, XP Professional và Windows Server 2003.
Hôm thứ năm, Microsoft phát hành một module phần mềm nhỏ có tên là Microsoft ASP.Net ValidatePath (VPModule.msi) có thể ứng dụng cho các máy chủ Internet Information Server 5.0, 5.1 hoặc 6.0. Họ khẳng định module này có khả năng ngăn chặn sự khai thác đối với lỗ hổng của ASP.Net. Bên cạnh đó, hãng cũng đang xúc tiến một bản vá lỗi bảo mật cho lỗ hổng.
Microsoft cũng khuyến nghị chủ nhân của các website xem lại gợi ý về các cách thức kiểm tra lỗi trong thủ tục tiêu chuẩn với URL tại địa chỉ: http://support.microsoft.com/?kbid=887459 (http://vietbao.vn/vn/trang-ngoai/http://support.microsoft.com/"e;kbid=887459/vivavietnam.net/) . Bạn đọc có thể tham khảo thêm trang liệt kê các ứng dụng bị ảnh hưởng bởi lỗi ASP.Net tại: www.microsoft.com/security/incident/aspnet.mspx (http://vietbao.vn/vn/trang-ngoai/http://www.microsoft.com/security/incident/aspnet.mspx/vivavietnam.net/) .
http://vietbao.vn
ASP.Net là phiên bản mới nhất của công nghệ Active Server Page (ASP). Nó cho phép các nhà phát triển tạo ra những ứng dụng web bằng cách nhúng các chương trình nhỏ viết bằng các ngôn ngữ khác nhau như Visual Basic, Perl và C#, vào trong các trang web rồi truyền đến người dùng. Trong đó, thủ tục tiêu chuẩn là một quy trình dịch các truy vấn URL về nội dung trên máy chủ và quyết định cách thức hợp lý để phúc đáp cho các vấn tin ấy. Ví dụ, có nhiều cách để tham chiếu đến vị trí của một tập tin, chẳng hạn hompage.html trên một web server, và thủ tục tiêu chuẩn sẽ biên dịch thông tin trong mỗi URL để xác định URL đó đang yêu cầu tập tin nào.
Lỗ hổng này ảnh hưởng tới mọi phiên bản của ASP.Net, trong đó có cả các phiên bản đang chạy trên Windows 2000, Windows 2000 Server, XP Professional và Windows Server 2003.
Hôm thứ năm, Microsoft phát hành một module phần mềm nhỏ có tên là Microsoft ASP.Net ValidatePath (VPModule.msi) có thể ứng dụng cho các máy chủ Internet Information Server 5.0, 5.1 hoặc 6.0. Họ khẳng định module này có khả năng ngăn chặn sự khai thác đối với lỗ hổng của ASP.Net. Bên cạnh đó, hãng cũng đang xúc tiến một bản vá lỗi bảo mật cho lỗ hổng.
Microsoft cũng khuyến nghị chủ nhân của các website xem lại gợi ý về các cách thức kiểm tra lỗi trong thủ tục tiêu chuẩn với URL tại địa chỉ: http://support.microsoft.com/?kbid=887459 (http://vietbao.vn/vn/trang-ngoai/http://support.microsoft.com/"e;kbid=887459/vivavietnam.net/) . Bạn đọc có thể tham khảo thêm trang liệt kê các ứng dụng bị ảnh hưởng bởi lỗi ASP.Net tại: www.microsoft.com/security/incident/aspnet.mspx (http://vietbao.vn/vn/trang-ngoai/http://www.microsoft.com/security/incident/aspnet.mspx/vivavietnam.net/) .
http://vietbao.vn