by Njål

Alvorlig sikkerhetshull i Asp.net

Microsoft annonserte for under en uke siden at det er oppdaget et relativt alvorlig sikkerhetshull i Asp.net / IIS som gjør at private filer som f.eks. web.config kan lastes ned. I disse filene ligger det ofte sensitiv informasjon som brukernavn / passord til databaser osv – så dette kan potensielt få store konsekvenser.

Inntil Microsoft lanserer en patch via Windows Update, anbefales det å slå på CustomErrors i Web.Config – som forhindrer angriperen i å bryte seg inn.

Se Scott Guthries blogg for detaljer:
http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx