martes, 21 de septiembre de 2010

Aviso de Seguridad 2416728 (Vulnerabilidad en ASP.NET) y SharePoint

En el blog de product team de SharePoint encontré este post sobre la  vulnerabilidad detectada (Microsoft Security Advisory) en ASP.NET hace algunos días en el post se explica la relación del error con SharePoint 2010 así como un workaround para el mismo.

En el post menciona que esta vulnerabilidad afecta a Microsoft SharePoint 2010 y Microsoft SharePoint Foundation 2010, al ser un problema de ASP.NET pareciera que también debería afectar a SharePoint 2007 pero estaré investigando al respecto y actualizare este post con la información que vaya encontrando.

El equipo del producto recomienda a todos sus clientes aplicar el workaround lo mas pronto posible.
Para SharePoint 2010 se recomienda realizar los siguientes pasos en cada servidor de Web Front End de la granja.
  1. Navegue al directorio de instalacion de SharePoint %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\14\template\layouts.
  2. Cree un nuevo archivo de texto llamado  error2.aspx in este directorio con el siguiente contenido:
    <%@ Page Language="C#" AutoEventWireup="true" %>
    <%@ Import Namespace="System.Security.Cryptography" %>
    <%@ Import Namespace="System.Threading" %>
    
    <script runat="server">
    void Page_Load() {
    byte[] delay = new byte[1];
    RandomNumberGenerator prng = new RNGCryptoServiceProvider();
    
    prng.GetBytes(delay);
    Thread.Sleep((int)delay[0]);
    
    IDisposable disposable = prng as IDisposable;
    if (disposable != null) { disposable.Dispose(); }
    }
    </script>
    
    <html>
    <head runat="server">
    <title>Error</title>
    </head>
    <body>
    <div>
    An error occurred while processing your request.
    </div>
    </body>
    </html>

  3. Navegue a %SystemDrive%\inetpub\wwwroot\wss\virtualdirectories.
  4. Por cada subfolder en este directorio haga lo siguiente:
     1.Edite el web.config 
          2.Encuente el nodo de CustomErrors y cambielo a: 

           <customErrors mode="On" redirectMode="ResponseRewrite"     defaultRedirect="/_layouts/error2.aspx" /&gt

          3.Salve los cambios
          4.Corra un Issreset /noforce

El impacto de este workaround es que SharePoint 2010 retornara a los mismos errores genéricos de los clientes web sin importar el error que ocurra.

Espero que les sea de mucha utilidad seguiré investigando para ponerlos al tanto sobre cualquier nueva información que aparezca sobre este riesgo de seguridad así como nueva información sobre parches o nuevas solucion

No hay comentarios.: