Sogar mit Verweis auf diese Liste.... Gru�, Volker
-----Original Message----- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Florian Hiort Sent: Friday, October 01, 2004 3:37 PM To: [EMAIL PROTECTED] Subject: AW: [Asp.net] Re: Sicherheit: Security bug in .NET Forms Authentication Nun steht es auch schon in den Heise News: http://www.heise.de/newsticker/meldung/51730 Flo -----Urspr�ngliche Nachricht----- Von: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Im Auftrag von Christoph Wille Gesendet: Mittwoch, 29. September 2004 11:22 An: [EMAIL PROTECTED]; [EMAIL PROTECTED] Betreff: [Asp.net] Re: Sicherheit: Security bug in .NET Forms Authentication So, mittlerweile hat es scheint's auch jemand in der UK Community geschnallt da� der Post auf NTBugtraq kam (<http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0409&L=ntbugtraq&F=P&S=&P=9884>) und hat offen danach gefragt. Das bedeutet, da� es nun nicht mehr allzu lange dauern kann, bis es weitere Kreise zieht (an sich ersch�ttert es mich sehr da� es bis dato noch nicht dazu kam - beweist einmal mehr wie wenig sich die Leute um Sicherheit schei....) Wer einen IIS 5.x am Netz hat, bitte lest Stephan's Anleitung f�r URLScan und macht Eure Rechner promtest dicht: <http://www.dotnetgerman.com/blogs/stephan/PermaLink.aspx?guid=27020e83-8249-4617-b1f2-2ec618675ab0> Chris Listmaster At 11:05 AM 9/28/2004, you wrote: >Ich habe soeben vergeblich versucht den Fehler nach zu vollziehen, >leider >vergeblich... Getestet habe ich unter XP und W2k3 es kam jedoch mmer ein >404er. Mein erster Verdacht hat sich dann auch gleich best�tigt : URLScan >filtert den "\" in der URL! Also bevor Ihr in Panik ausbrecht - URLscan >installieren wers noch nicht drauf hat: >http://www.microsoft.com/windows2000/downloads/recommended/urlscan/default.asp > >Wers drauf hat soll bitte seine config ( normalerweise unter >"C:\WINDOWS\system32\inetsrv\urlscan\urlscan.ini") checken: > >Folgendes geh�rt unbedingt da rein: >[DenyUrlSequences] >\ ; Don't allow backslashes in URL > >Stephan > >Christoph Wille schrieb: > >>At 08:09 AM 9/28/2004, you wrote: >>>At 07:28 AM 9/28/2004, you wrote: >>>>http://chrison.net/PermaLink,guid,e0b21b88-20d8-4278-bbf7-0d31f71432 >>>>dd.aspx >>>> >>>>Es k�nnte sein da� wir ein h�llisches Sicherheitsproblem mit ASP.NET >>>>haben. >>> >>>Wollte nur folgendes nachschieben: yep, es ist ein zero-day exploit. >>>Allerdings funktioniert er nicht in allen Setups von Forms >>>Authentication, daher sollte jeder seine Sites darauf testen - und wenn >>>der Exploit funktioniert, die Adminseiten offline nehmen bis MS den Fix >>>liefert. >>Direkter NTBugTraq Link zum Report des Forms Auth bugs: >><http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0409&L=ntbugt >>raq&F=P&S=&P=9884> >>Chris _______________________________________________ Asp.net Mailingliste, Postings senden an: [EMAIL PROTECTED] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/asp.net _______________________________________________ Asp.net Mailingliste, Postings senden an: [EMAIL PROTECTED] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/asp.net _______________________________________________ Asp.net Mailingliste, Postings senden an: [EMAIL PROTECTED] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/asp.net
