Vor etwa einer guten Woche haben wir über die “ASP.NET Sicherheitslücke” berichtet und eine Zusammenfassung der wichtigsten Infos zum Workaround geschrieben.
Der Fehler betrifft alle ASP.NET Versionen und wird in “Microsoft Security Advisory (2416728), Vulnerability in ASP.NET Could Allow Information Disclosure” beschrieben.
Jetzt ging es bei Microsoft aber wirklich schnell (wenn ein Vice President in seinem Blog über einen solchen Bug reportet, dürfte das eine hohe Priorität haben ;-).
Das Microsoft Security Response Center informiert in seinem Blog, dass heute, am 28. September, um 19 Uhr (MEZ), ein Security Update veröffentlicht wird:
Out of Band Release to Address Microsoft Security Advisory 2416728
“The security update is fully tested and ready for release, but will be made available initially only on the Microsoft Download Center… The update will also be released through Windows Update and Windows Server Update Services within the next few days…”
Das Update wird also sowohl selbst zu laden sein als auch in den nächsten Tagen über Windows Update ausgerollt werden. Betroffen sind alle Windows Server mit IIS, die ASP.NET Websiten hosten – Enduser sind demnach NICHT betroffen.
Nach dem Ausführen des Updates sind die ASP.NET Websites wieder gegen die beschriebenen Angriffe sicher. Der Workaround in web.config <customErrors mode="On" defaultRedirect="~/myerror.html" /> kann dann wieder rückgängig gemacht werden – grundsätzlich empfiehlt es sich aber natürlich im Produktivbetrieb von ASP.NET Websites eigene, “userfriendly” Fehlerseiten zu verwenden. Die custom Errors (z.B. 404, etc.) können dann aber wieder verwendet werden.