Mono XSP ASP.NET Server verrät Quellcode

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34811
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Mono XSP ASP.NET Server verrät Quellcode

Beitrag von doelf » 22 Dez 2006, 17:26

Ein Fehler in Mono, der .NET-kompatiblen Entwicklungs- und Laufzeitumgebung, ermöglicht es Angreifern, den Sourcecode von Web-Applikationen sowie die Datei Web.Config auszulesen. Der Fehler wurde mit Mono 1.2.1 unter XSP für ASP.NET 1.1 und 2.0 nachgewiesen, die ältere Version Mono 1.0 scheint nicht betroffen zu sein.

Dynamische Webseiten, welche serverseitig generiert werden, basieren auf Code, welcher auf dem Server ausgeführt wird. Der Quellcode dieser Programme kann von Angreifern dazu genutzt werden, um Schwachstellen aufzuspüren und diese auszunutzen. Dies kann bei Mono 1.2.1 anscheinend sehr einfach bewerkstelligt werden, man muss der URL lediglich die Zweichenfolge "%20" anhängen (Beispiel: http://www.server.com/app/Default.aspx%20).

Der Fehler wurde am 29. November von José Ramón Palanco entdeckt und jetzt, da Update verfügbar ist, veröffentlicht. Das Open-Source-Projekt rät dringend zum Update auf Mono 1.2.2 oder 1.1.13.8.2.

Quelle:
http://eazel.es/advisory007-mono-xsp-so ... ility.html

Antworten