atwork.blog

news and infos about microsoft, technology, cloud and more

Service Pack 1 für Windows Server 2008 R2 und Windows 7 ist fertig

Wie das Windows Server Division WebLog gestern bekannt gab, ist das das Service Pack 1 für die aktuellsten Microsoft Betriebssysteme Windows Server 2008 R2 und Windows 7 fertig (Release). Gerüchte über das Erscheinungsdatum gab es ja schon reichlich, nun ist es fix: Für TechNet und MSDN-Abonnenten sowie Volume Licensing-Kunden wird SP1 ab dem 16. Februar verfügbar sein, die breite (öffentliche) Masse wird SP1 ab dem 22. Februar via Windows Update und Microsoft Download Center downloaden können. Erfahren Sie mehr über die Funktionen des SP1 hier: Windows Server 2008 R2 and Windows 7 SP1 Releases to Manufacturing Today Webcast-Tipp: TechNet Webcast: Dynamic Memory und RemoteFX (Level 200) - Überblick über das Service Pack 1 für Windows Server 2008 R2 und Windows 7 Windows 7 und Windows Server 2008 R2 SP1 Release Candidate Windows 7 und Windows Server 2008 R2 Service Pack 1: Dynamic Memory und RemoteFX für Hyper-V  Erste Erfahrungsberichte auf windowsblog.at: Installationsbericht Windows 7 Service Pack 1 Ich selbst bin schon sehr auf Dynamic Memory auf meinen Hyper-V Servern gespannt, und fast genauso auf Remote FX - die Anforderung von Video-Wiedergabe und Video-Konferenzen auf Remote Maschinen hatte ich auch schon mehrmals. Also, Windows-Maschinen, SP1 kommt bald

Dezember Patchday!

Mit dem Dezember Patchday kommen (wenn ich mich nicht verzählt habe) 17 Updates, zwei davon sind mit "Kritisch" eingestuft: Eines behebt gleich mehrere Schwachstellen im Internet Explorer 6, 7 und 8 (MS10-090), das zweite eine Schwachstelle im OpenType Font (OTF) Driver (MS10-091) - das betrifft den Windows Explorer - und auch alle aktuellen Windows Versionen. Dann gibt es noch 14 "wichtige" Updates und ein "mäßig wichtiges" Update im Dezember. Einen Überblick der Dezember-Patches finden Sie hier: Microsoft Security Bulletin Summary for December 2010  Microsoft Security Bulletin Search zeigt alle immer die aktuellen Patches, auch durchsuchbar! Generell ist für alle Sicherheits-Experten (und solche die es werden wollen) die Zusammenfassung der Microsoft Security Bulletin Summaries and Webcasts empfehlenswert: Microsoft Security Bulletin Summaries and Webcasts Hier finden sich auch Webcasts zu den einzelnen monatlichen Security Bulletins. Die Webcasts dauern meist so um die 90 Minuten und erfordern nur eine Registrierung mit einer LiveID und können online angesehen oder downgeloadet werden, so zum Beispiel der Webcast vom November 2010: Heute, 15.12., um (11:00 Pacific Time, bei uns) 18:00 findet der Dezember-Webcast statt: Webcast- Information About Microsoft December Security Bulletins Der Patchday erfolgt jeden 2.ten Dienstag pro Monat - die Updates sind also seit gestern verfügbar und sollten auch rasch angewendet werden. Secure Computing!

IE9 ganz Privat: Tracking Protection Lists

Das IE9-Team tut (Einiges) Alles, um den neuen Internet Explorer 9 zum Top-Browser zu machen (siehe auch TechNet: Microsoft Internet Explorer). Vor kurzem hat das Produkt-Team in seinem Blog eine weitere neue Funktion angekündigt: "Tracking Protection". Mit "Tracking Protection Lists" (mit der sinnigen Abkürzung TPL) kann ein Benutzer unerwünschtes Tracking ausschalten - und somit auch kontrollieren, welche Informationen an fremde Systeme gesendet oder nicht gesendet werden dürfen. Das Thema Privatsphäre muss ernst genommen werden. Somit hat sich auch das IE Team zum Ziel gemacht, effektive Mechanismen einzusetzen um dem Benutzer die Steuerung seines Datenstroms zu ermöglichen ("...more effective technologies for consumer control"). TPL ist eine davon. Hm, wozu könnte das gut sein? Heute sind fast alle Webseiten verlinkt und benutzen Inhalte und Scripts von anderen Web(systemen), etwa für Social Media-Aktivitäten, Website-Traffic Analyse aber auch für Werbebanner und sonstige Adserver-Aktivitäten. Hier einige Beispiele: oder Der Seiten-Quellcode offenbart auch die Quelle, zum Beispiel sieht das bei der obigen Werbung so aus: <iframe width="300" height="250" title="Ad" src="http://d3l3lkinz3f56t.cloudfront.net/dclk1-0.9.html#swf=http%3A//s0.2mdn.net/1614546/EA_... Mit TPL können solche eingebetteten Inhalte auf Wunsch blockiert werden. "IE9 will offer consumers a new opt-in mechanism ("Tracking Protection") to identify and block many forms of undesired tracking." Unerwünschte URLs können zur TPL hinzugefügt werden, das sieht dann (mit unscharfem Screenshot aus einem Video) in etwa so aus: Geblockte Inhalte werden mit rotem Rahmen angezeigt, zugelassene Inhalte mit grünem Rahmen (nach dem Reload der Seite erscheinen die roten Rahmen nur mehr leer). Diese Regeln "Do not Track" wirken sich nicht nur auf die aktuelle Webseite aus, sondern natürlich für alle Webseiten (die diese geblockten Adressen aus der TPL verwenden) - wir kennen das Verhalten ja bereits von Drittherstellern und "AdServer-Blocking" AddOns. Mit TPL kann jeder Anwender mit einem Regelwerk selbst bestimmen, welche Fremd-Aufrufe zugelassen werden sollen und welche nicht. Die Regeln können sehr komplex sein und werden in einem XML-Dokument gespeichert - dieses wird voraussichtlich so aussehen (Screenshot aus dem Original-Artikel): Hier werden mit Regular Expressions geblockte (blockRegex) und erlaubte (allowRegex) Adressen angegeben: Das Fazit des IE-Produktteams: "We believe that the combination of consumer opt-in, an open platform for publishing of Tracking Protection Lists (TPLs), and the underlying technology mechanism for Tracking Protection offer new options and a good balance between empowering consumers and online industry needs." Vor allem: Es funktioniert sehr einfach - eine gute Voraussetzung für den Einsatz. Hier geht es zum Original-Artikel: IE9 and Privacy: Introducing Tracking Protection. Ein kurzes Silverlight-Video im Artikel zeigt die TPL-Funktionalität in Action: TPL wird ab dem IE9 Release Candidate verfügbar sein. (Für die letzte IE9-Version siehe http://ie.microsoft.com/testdrive) Achja noch ein Hinweis zur Installation von IE9: Im Web sind Gerüchte aufgetaucht, dass IE9 RTM unbedingt Windows 7 SP1 benötigen wird. Diese sind FALSCH. IE9 wird nur einige Hotfixes und Updates benötigen, die in SP1 enthalten sein werden, aber nicht das "ganze" SP1 - und diese Updates werden mit der Installation von IE9 mitkommen und sich bei Bedarf automatisch installieren: "When you install Internet Explorer 9 on a system that has Windows 7 RTM installed, additional operating system components are included as part of the installation of Internet Explorer 9. ... this will be a seamless process for the user." Derzeit ist Windows 7 Service Pack 1 Release Candidate verfügbar, die RTM-Version wird in der ersten Jahreshälfte 2011 veröffentlicht werden. Viel Spaß beim Testen von IE9!

Bill Gates verteilt gerade sein Vermögen - oder warum Hoax E-Mails noch immer die Runde machen

Gerade ist folgende E-Mail in meiner Mailbox gelandet: Bill Gates verteilt gerade sein Vermögen - bitte leitet diese E-Mail an soviel Leute wie möglich weiter. Kein Scherz - natürlich nicht.... Offensichtlich hat Bill Gates zu viel Geld. Dies verschenkt er jetzt - natürlich über E-Mail, an ihm unbekannte Personen. Klarerweise sind in der E-Mail auch die Glücksfälle der Bekannten von Bekannten genannt, die tausende Dollar per Scheck erhalten haben. Nebenbei erfahre ich von einer geplanten Fusion von Intel und AOL. Aha. Das E-Mail wurde, ehe es bei mir gelandet ist, bereits 38(!!!!) Mal weiter geleitet - an hunderte Empfänger (deren datenschutzrechtlich geschützte E-Mail Adressen enthalten). Wir erhalten - aufgrund eines ausgezeichneten Spamschutzes über FOPE normalerweise solche E-Mails nimmer, umso erfreulicher ist dieses Exemplar. Hier ein Auszug des Inhaltes: So, muss mal meine Bekannten von Bekannten oder Tanten fragen, wie viel Geld sie schon bekommen haben. Sollte jemand die Mail weiterleiten wollen, bitte nicht an mich. Ich glaube nicht daran. Sollten Sie nicht sicher sein, ob eine E-Mail ein Hoax ist: hier können Sie nachschauen, das ausgezeichnete, bereits in die Jahre gekommene Info Service der TU-Berlin.

Im Internet wirds langsam eng...

Die IPv4 Ära geht zu Ende. Die 4,3 Milliarden möglichen offiziellen Adressen von IPv4 werden nicht mehr lange ausreichen, so berichtet auch das renommierte c´t Magazin "IPv4-Adressen werden ab 2011 knapp". Auch wenn viele reservierte IPv4 Bereiche derzeit nicht genutzt werden, so ist es nur eine Frage der Zeit, bis Internet-Provider keine IPv4-Adressen mehr hergeben werden oder können. In Nordamerika wird das allerdings noch länger kein Problem sein, da dieser Region bei der Vergabe fast 70% aller IPv4 Adressen zugewiesen wurden. Überall anders wird bzw. ist es bald eng. Unabhängig davon sind die Adressbereiche von IPv4 mittlerweile stark fragmentiert. Deswegen wird bereits seit etwa fünf Jahren von Hardware- und Software-Herstellern und Carriern/ISPs in den Ausbau des Internet-Protokolls Nachfolgers IPv6 investiert. Ein wesentlicher Vorteil von IPv6 ist der riesige Adressraum von 2^128 (statt 2^32 bei IPv4 und unglaubliche 340 Sextillionen Adressen). Damit sollte dann für jedes mögliche Gerät vom Handy bis hin zum Kühlschrank (...und theoretisch für jedes Sandkorn auf der Erde) eine eigene IP-Adresse möglich sein. Hinzu kommen besseres Routing sowie Verbesserungen bei der Netzwerkadministration und ein neues, einfacheres HeaderFormat. Die Autokonfiguration erlaubt es jedem Gerät, sich selbst eine eindeutige Adresse zuzuweisen, ohne dass ein DHCP-Server benötigt wird, Network Address Translation entfällt bei IPv6 vollständig. Jedes Gerät erhält mit IPv6 also eine eigene, eindeutige Adresse aus einem zugewiesenen Teilnetz. Das ist vor allem für mobile Geräte hilfreich. In Windows XP ab SP2 und Windows Server 2003 kann IPv6 nachträglich aktiviert werden. Ab Windows Vista, Windows 7 und Windows Server 2008 und R2 ist IPv6 standardmäßig aktiviert (und u.a. Voraussetzung für Direct Access). So liefert der Befehl ipconfig beispielsweise: Verbindungslokale IPv6-Adresse  . : fe80::6469:7862:7230:f74a%12 IPv4-Adresse  . . . . . . . . . . : 192.168.75.114 Mit dem Kommando netsh interface ipv6 kann IPv6 dauerhaft konfiguriert werden, mehr dazu im TechNet. IPv6 ist ein sehr weites, immer aktuelleres Thema. Für Netzwerker ist es somit wichtig, Know How und Infrastruktur aufzubauen! Ein Umstieg bzw. eine Symbiose von IPv4 und IPv6 kann sanft erfolgen, aber es gibt viel zu diesem Thema zu erfahren. Letztlich wird IPv4 auslaufen und im Laufe der nächsten Jahr(zehnte ;-) komplett durch IPv6 ersetzt werden. Zum Abschluss noch ein paar interessante Links: TechNet: Einrichten der IPv6-Infrastruktur TechNet: IPv6 TechNet Video: IPv6 - Aufbau eines gerouteten Netzwerks Ping mich mal mit IPv4 vs. Windows und IPv6

SQL Server 2008 SP2 ist verfügbar

Ganz frisch! Das SQL Server 2008 Service Pack 2 (Version 10.00.4000.00) kann seit heute aus dem Microsoft Download Center downgeloadet werden: Microsoft SQL Server 2008 Service Pack 2. Für die Express-Editions gibt es einen eigenen Download: Microsoft SQL Server 2008 SP2 Express Edition Service Pack 2 Was ist Neu in SP2? SQL Server Utility - Ein Verwaltungstool zur konsolidierten Ansicht von Ressourcen und "Gesundheit" aus verschiedenen SQL-Instanzen Data-tier Application (DAC) - Verwaltung von Daten in Multi-Tier Applikationen - Für nähere Hinweise lesen Sie diesen Artikel oder fragen Sie den Developer Ihres Vertrauens ;-) Reporting Services in SharePoint Integrated Mode - Verbesserungen der Reporting Services, in Tablix, Chart und Gauge Datenregionen, neue Datenquellen-Typen und Report Builder 2.0. SQL Server 2008 SP2 Report Server können in SharePoint 2010 und 2007 integriert werden. List of the bugs that are fixed in SQL Server 2008 Service Pack 2 (KB2285068) Mehr zum SQL Server und zum SP2: Microsoft Download Center - Microsoft SQL Server 2008 Service Pack 2 TechNet Wiki - Microsoft SQL Server 2008 SP2 Release Notes TechNet Microsoft SQL Server 2008 Home MSDN Microsoft SQL Server 2008 Empfehlenswert vor der Installation ist der Microsoft SQL Server 2008 SP2 Upgrade Advisor! Voraussetzung für SP2: SQL Server ;-), NET Framework 3.5 SP1, SQL Server Native Client, Unterstützungsdateien für SQL Server-Setup, Microsoft Windows Installer 4.5. (für x86 und x64) und zw. 110 und 396MB Festplattenplatz für den Download und etwa 675MB für die Installation. Happy testing and upgrading!

Patch für die ASP.NET Sicherheitslücke!

Vor etwa einer guten Woche haben wir über die “ASP.NET Sicherheitslücke” berichtet und eine Zusammenfassung der wichtigsten Infos zum Workaround geschrieben. Der Fehler betrifft alle ASP.NET Versionen und wird in “Microsoft Security Advisory (2416728), Vulnerability in ASP.NET Could Allow Information Disclosure” beschrieben. Jetzt ging es bei Microsoft aber wirklich schnell (wenn ein Vice President in seinem Blog über einen solchen Bug reportet, dürfte das eine hohe Priorität haben ;-). Das Microsoft Security Response Center informiert in seinem Blog, dass heute, am 28. September, um 19 Uhr (MEZ), ein Security Update veröffentlicht wird: Out of Band Release to Address Microsoft Security Advisory 2416728 “The security update is fully tested and ready for release, but will be made available initially only on the Microsoft Download Center… The update will also be released through Windows Update and Windows Server Update Services within the next few days…” Das Update wird also sowohl selbst zu laden sein als auch in den nächsten Tagen über Windows Update ausgerollt werden. Betroffen sind alle Windows Server mit IIS, die ASP.NET Websiten hosten – Enduser sind demnach NICHT betroffen. Nach dem Ausführen des Updates sind die ASP.NET Websites wieder gegen die beschriebenen Angriffe sicher. Der Workaround in web.config <customErrors mode="On" defaultRedirect="~/myerror.html" />  kann dann wieder rückgängig gemacht werden – grundsätzlich empfiehlt es sich aber natürlich im Produktivbetrieb von ASP.NET Websites eigene, “userfriendly” Fehlerseiten zu verwenden. Die custom Errors (z.B. 404, etc.) können dann aber wieder verwendet werden.

ASP.NET Sicherheitslücke betrifft auch SharePoint

Vor kurzem wurde eine Sicherheitslücke in ASP.NET bekannt wodurch ein Angreifer Zugriff auf normalerweise geschützten Informationen und Dateien einer ASP.NET Website erhalten kann. Auch SharePoint ist betroffen! Wir haben auch bereits in unserem Blog darüber berichtet: Achtung! Sicherheitslücke in ASP.NET entdeckt und Nachtrag zur Sicherheitslücke in ASP.NET Scott Guthrie hat in Important: ASP.NET Security Vulnerability darüber berichtet und auch einen Folgeartikel mit den wichtigsten FAQs zum Thema veröffentlicht: Frequently Asked Questions about the ASP.NET Security Vulnerability Für SharePoint 2010 existiert dieser Workaround: Security Advisory 2416728 (Vulnerability in ASP.NET) and SharePoint Unbedingt ansehen und die eigenen SharePoint Instanzen überprüfen!

Nachtrag zur Sicherheitslücke in ASP.NET

Wie in Achtung! Sicherheitslücke in ASP.NET entdeckt beschrieben, kann die Sicherheitslücke in ASP.NET mit wenig Aufwand durch Anpassen der Datei web.config behoben werden. Zur Klarstellung noch ein paar Nachträge, zusammengefasst aus den Kommentaren in Scott Gu´s blog: Important: ASP.NET Security Vulnerability: Muss der Workaround wirklich angewendet werden? Ja! “Yes - please do apply the workaround” Auch bei verschlüsselter web.config? Ja. Verschlüsselung ist eine Empfehlung – aber auch dann soll web.config niemals preisgegeben werden. “Encrypting your connection strings has always been our recommended best practice - and prevents someone from identifying them if the web.config file is compromised.” Wird es einen Patch geben? Ja! (s.u.) ”The workaround is only a temporary suggestion - we will patch the vulnerability itself at which point it isn't required.  We published the workaround because of worries that someone might try to exploit this before a patch is available.” Zur Ausnutzung der Sicherheitslücke in ASP.NET wird versucht, die Unterschiede zwischen HTML Error Code 404 (und Versionen) und 500 (Allgemeiner Fehler) auszulesen. Es soll demnach auch keine eigene 404 er Seite angegeben werden. “No - until we release a patch for the real fix, we recommend the above workaround which homogenizes all errors.” Nochmals: Der beste Weg, das zu verhindern, ist immer nur EINE Fehler-Website anzugeben - daher auch keine Error-Subelemente verwenden! O-Ton Scott: “One of the ways this attack works is that looks for differentiation between 404s and 500 errors.  Always returning the same HTTP code and sending them to the same place is one way to help block it.” Im Original-Artikel wird auch erwähnt, dass es mit dem Bug auch möglich sei, den ViewState zu entschlüsseln (“to enable decrypting of ViewState”). Scott´s Antwort dazu beschreibt, dass die Ausnutzung darin begründet liegt, dass es ASP.NET erlaubt, CSS, Javascript etc. mit einem Schlüssel als Teil der Anfrage immer downzuloaden. “…a feature in ASP.NET that allows files (typically javascript and css) to be downloaded, and which is secured with a key that is sent as part of the request. Unfortunately if you are able to forge a key you can use this feature to download the web.config file of an application (but not files outside of the application).“ Es ist – nicht wie ursprünglich beschrieben - nur der Modus customErrors mode=”On” möglich: “RemoteOnly will also work fine.”. Es funktioniert “On” UND “RemoteOnly”, z.B.: <customErrors mode="RemoteOnly" defaultRedirect="~/myerror.html" /> Ja, SharePoint ist ebenfalls betroffen. Auch ASP.NET MVC ist betroffen: “Yes - all versions of ASP.NET are affected, including ASP.NET MVC.” Betrifft das nur ASPX-Seiten? Nein, auch alle ASP.NET Ressourcen. “This vulnerability impacts ASP.NET resources (not just ASPX pages).” Die mögliche Viewstate-Entschlüsselung ist unabhängig vom möglichen Download von ASP.NET Dateien: “The attack vector that was demonstrated publicly (which downloads the web.config file) uses a built-in feature of ASP.NET and is independent of viewstate.” Ist auch ASP.NET unter Mono betroffen? Wahrscheinlich nicht “I'm not sure if Mono has the same bug.” Wie beschrieben, sollte in jedem ASP.NET Produktivweb customErrors mode=”On” gesetzt sein… ;-) Ein Tipp zum Script DetectCustomErrorsDisabled3.vbs: Wenn viele Webs vorhanden sind, ist es oft sinnvoller, die Webs, wo web.config ok ist, einfach nicht auszugeben: Dazu in Zeile 163 einfach ein einfaches Hochkomma ‘ vor der Ausgabe WScript.Echo Path & ": ok" ausgeben:   Noch schöner wäre, die Ausgaben (statt gleich als Messagebox) in einem String zu sammeln und am Ende des Durchlaufs gesammelt (ev. in einer Datei, Notepad o.ä.) auszugeben. Wer Lust hat, das Script weiter anzupassen… (ich bin mit meinen Webservern schon durch… ;-). Wenn der angekündigte Patch verfügbar ist, kann wieder die ursprüngliche web.config mit mehreren Error-Elementen verwendet werden. Bis es soweit ist: Bitte web.config wie im Artikel beschrieben anpassen! “Note that when the patch comes out to fix this, you won't need to do this (and can revert back to the old behavior).  But for right now I'd recommend not differentiating between 404s and 500s to clients. Thanks, Scott” Danke an Scott und die ASP.NET Community! Ich hoffe, mit dieser Zusammenfassung sind die wichtigsten Fragen zum ASP.NET Workaround geklärt. So, do it! ;-)

Sicherheitslücke in ASP.NET entdeckt. Schützen Sie Ihren Webserver!

Wichtiger Hinweis für Hoster, IT-Pros und Developer, die ASP.NET Websites betreiben und verwalten! Vor wenigen Stunden hat der Chef der Microsoft Developer Division, Scott Guthrie (Mr. Red Poloshirt ;-), in seinem Blog auf eine kürzlich entdeckte Sicherheitslücke in ALLEN ASP.NET Versionen hingewiesen. Hier geht es zum Original-Artikel: Important: ASP.NET Security Vulnerability Durch Ausnutzen der Sicherheitslücke kann ein Angreifer die (normalerweise geschützten) Dateien einer ASP.NET Website herunterladen – zum Beispiel die Datei web.config, die üblicherweise in jeder Webanwendung vorhanden ist und sensitive Daten, wie Datenbank Connection Strings und ähnliche Web-Einstellungen, enthält. Die Sicherheitslücke funktioniert auf Basis von speziell präparierten Anfragen an den Webserver, welcher Errorcodes zurückliefert, die zum Entschlüsseln der retournierten Daten verwendet werden können. Also nichts, was im normalen Betrieb oder “zufällig” passieren kann, sondern nur durch gezielte Attacken und entsprechend viele Abfragen ausspioniert werden kann. Dennoch, diese Sicherheitslücke betrifft ALLE ASP.NET Versionen von 1.0 bis 4.0! Der Workaround dagegen ist zum Glück sehr einfach: Die Datei web.config in jedem Web muss den Eintrag customErrors mode=”On” und eine eigene Fehlerseite definiert haben, wie folgt: <configuration>           <system.web>       <customErrors mode="On" defaultRedirect="~/error.html" />    </system.web>        </configuration> So werden Webs durch eine eigene Fehlermeldung geschützt. Normalerweise sollte bei einem Produktivweb soundso eine eigene Error-Seite(n) hinterlegt sein… Zur Klarstellung: Der mode RemoteOnly darf auch verwendet werden! (Update 20.09.2010). Achten Sie bei Webs unter .NET 3.5 SP1 und .NET 4.0 auf den zusätzlichen Key redirectMode=”ResponseRewrite”. “The important things to note above is that customErrors is set to “on”, and that all errors are handled by the defaultRedirect error page. Note the use of redirectMode=”ResponseRewrite” with .NET 3.5 SP1 and .NET 4.0. There are not any per-status code error pages defined – which means that there are no <error> sub-elements within the <customErrors> section.  This avoids an attacker being able to differentiate why an error occurred on the server, and prevents information disclosure.” Call to action: Sehen Sie alle Webs auf Ihrem Webserver durch, oder lassen Sie sich von einem kleinen Script helfen, welches alle Websites auf dem IIS durchläuft und meldet, ob die web.config entspricht oder nicht. Bei mehreren Webs: Laden Sie am besten das Tool von www.asp.net/media/782788/detectcustomerrorsdisabledv30.zip herunter und entpacken Sie es: Starten Sie DetectCustomErrorsDisabled3.vbs (erfordert ADSI Unterstützung und IIS6 Management-Tools). Damit werden alle Webs auf dem Webserver durchlaufen und deren web.config geprüft. Nun wird jedes Web durchlaufen: Ist web.config ok oder nicht ok? Nicht ok: Öffnen Sie die angezeigte web.config und suchen Sie nach der Einstellung “customErrors”. Der relevante Abschnitt kann dann zum Beispiel so aussehen: Ausbessern von customErrors in mode=”On” – wichtig ist auch, eine eigene defaultRedirect-Webseite (die natürlich im Web vorhanden sein muss) anzugeben, hier ooops.aspx. Und es dürfen KEINE Error Subelemente für einzelne Status-Codes definiert sein. Die korrigierte web.config sieht also so aus: Wenn im Web keine web.config vorhanden ist, muss diese Datei nach obigem Muster neu angelegt werden. Das Script ist zwar nicht super-komfortabel, aber ausreichend. Alternativ kann natürlich auch ein Search & Replace-Tool (wie z.B. Seeker o.ä.) verwendet werden. Das wars. Zum Testen, ob der Eintrag richtig gesetzt wurde und das eigene Fehlerhandling funktioniert, rufen Sie das Web mit einer falschen Seite auf und sehen Sie nach, ob die eigene Fehlerseite folgt. z.B. http://www.meinweb.at/falsch.aspx Microsoft wird bald einen Patch veröffentlichen, um dieses Problem zu beheben. Bis es soweit ist: Kontrollieren Sie Ihre ASP.NET Webs und passen Sie gegebenenfalls die web.config-Dateien wie oben beschrieben an! Mehr Infos zu dieser Sicherheitslücke finden Sie hier: Important: ASP.NET Security Vulnerability Microsoft Security Advisory 2416728 Understanding the ASP.NET Vulnerability Microsoft Security Response Center Blog Post Ich wünsche weiterhin sicheres Web-Hosting!

Außerplanmäßige Sicherheitsaktualisierung MS10-018 für den Internet Explorer

Am 30. März hat Microsoft eine außerplanmäßige Sicherheitsaktualisierung für den Internet Explorer veröffentlicht. Dieses Sicherheitsupdate behebt die in Security Advisory 981374 beschriebene Sicherheitslücke, die die Internet Explorer Versionen 6 und 7 betrifft. MS10-018 ist ein kumulatives Updates und behebt darüber hinaus noch neun weitere Sicherheitsanfälligkeiten, wovon auch der Internet Explorer 8 zum Teil betroffen ist. In diesem Video sehen Sie eine kurze Zusammenfassung: Was können Sie nun tun? Aktualisieren Sie Ihr System über Windows Update oder Windows Server Updates Services oder System Center Configurations Manager Weitere Informationen zum Update finden Sie her: Blog des Microsoft Security Response Center Microsoft Security Advisory 981374 Stay Secure! Bitte versuchen Sie, so bald als möglich auf den Internet Explorer 8 Upzudaten! Auch wenn der Internet Explorer 9 schon in den Startlöchern scharrt. Beitrag von Martina Grom