ASP.NET安全弱點的安全更新程式已在9/28釋出,也如ScottGu所預告,很快被加進Windows Update自動更新機制中!
(Windows Update會依OS及.NET版本決定更新程式,快點去檢查更新並安裝吧!)

請大家儘速對所有ASP.NET主機進行安全更新,愈快愈好!!

看了Scott的公告,我整理幾點注意事項如下:

  1. 由於此一資安漏洞已被公開,所以很有可能有人已製作了駭客程式,準備攻擊沒有修補漏洞的ASP.NET主機。如果不想讓你的ASP.NET網站變成待宰羔羊,請立即更新!
  2. 如果是Web Farm,記得每一台主機都必須要更新到。只要有一條漏網之魚,駭客照樣能攻陷整個Web Farm網站。
  3. ASP.NET修改了表單式登入認證(Forms Authentication)機制的Cookie演算法,所以之前用來記住身份下回免登入的Cookie將會失效,在安全更新後必須重新登入一次。(對User來說,只不過像Cookie過期或換台新電腦第一次連上網站一樣,不會有特殊感覺)
    PS: 若原來程式碼有自行對認證Cookie加解密,可能需要調整程式,避免在安裝更新後抛出例外,或者另一個省事的做法是修改web.config中的認證Cookie名稱,亦可解決問題。
  4. 多個Web Application共用表單式認證Cookie的做法仍然可以繼續沿用。
    (我這才知道原來可以在一台機器上的ASP.NET 2.0、ASP.NET 3.5 SP1、ASP.NET 4.0三種ASP.NET網站共用認證Cookie)
  5. 若Web Farm中混合了.NET 2.0 SP1與.NET 2.0 SP2,webresouce.axd、scriptresource.axd的URL在安裝安全更新後可能會因SP版本不同而有所差異,建議將.NET SP版本統一。
  6. 另外,安裝完更新,先前的web.config customError設定就可以調回原有設定(不用404跟500混在一起)。但注意,依一般的ASP.NET安全通則,正式上線主機請調成On或RemoteOnly,調成Off時仍然會衍生其他資安風險。

再次提醒

請大家儘速對所有ASP.NET主機進行安全更新,愈快愈好!!


Comments

Be the first to post a comment

Post a comment


54 - 21 =