Informazioni fondamentali su una vulnerabilità segnalata di Microsoft ASP.NET

Data di pubblicazione: 5 ottobre 2004 | Aggiornamento: 7 ottobre 2004

Microsoft è ancora impegnata nell'analisi di informazioni relative a una vulnerabilità segnalata di Microsoft ASP.NET. Le informazioni in nostro possesso indicano che un utente malintenzionato potrebbe inviare richieste specifiche ad un server Web che esegue applicazioni ASP.NET ed ignorare moduli di autenticazione o configurazioni d'autorizzazione Windows e potenzialmente visualizzare contenuti protetti senza fornire le credenziali appropriate. Le nostre prime indagini hanno rivelato che tutte le versioni di ASP.NET potrebbero essere interessate, a prescindere dalla versione di IIS o dai componenti IIS installati.

Microsoft consiglia caldamente, come misura preventiva, a tutti i proprietari di contenuti Web e agli amministratori che eseguono una qualsiasi versione di ASP.NET di leggere immediatamente ed implementare uno dei suggerimenti elencati negli articoli di Microsoft Knowledge Base elencati in questa pagina.

Nota  Questa pagina è stata aggiornata il 7 ottobre 2004, per includere informazioni su una nuova opzione di attenuazione rilasciata: il programma d'installazione per un modulo HTTP. Questo modulo protegge tutte le applicazioni ASP.NET su un server Web dai problemi di canonicalizzazione dell'URL noti a Microsoft alla data di pubblicazione. Questa pagina verrà aggiornata non appena saranno disponibili ulteriori suggerimenti e risorse.

Linee guida per gli amministratori di siti Web

Microsoft ha rilasciato un modulo HTTP che gli amministratori di siti Web possono applicare al loro server Web per proteggere le applicazioni ASP.NET sul server da ogni problema di canonicalizzazione dell'URL noto a Microsoft alla data di pubblicazione. Questo modulo, così come indicazioni precise e informazioni sulla distribuzione, sono disponibili presso il Microsoft Download Center.

• Microsoft ASP.NET ValidatePath module (VPModule.msi)

Per maggiori indicazioni su come installare e distribuire questo modulo per la protezione dei server, leggere l'articolo 887289 della Microsoft Knowledge Base, "HTTP Module to Check for Canonicalization Issues with ASP.NET"

Linee guida per gli sviluppatori ASP.NET

Nota  Se si decide di installare il modulo HTTP, queste indicazioni non sono necessarie.

Microsoft consiglia ai proprietari di siti Web e agli sviluppatori di implementare i suggerimenti contenuti nell'articolo 887459 della Microsoft Knowledge Base, Controllo a livello di programmazione dei problemi di rappresentazione canonica di ASP.NET, per attenuare questo problema. L'adozione dei suggerimenti presenti nell'articolo di cui sopra consente di proteggere l'applicazione ASP.NET da ogni problema di canonicalizzazione dell'URL noto a Microsoft alla data di pubblicazione.

Tali suggerimenti permettono di proteggere i clienti contro questo tipo di problemi. Microsoft, inoltre, è impegnata a fornire un aggiornamento della protezione per ASP.NET in grado di garantire ai clienti un'ulteriore protezione. Microsoft rilascerà l'aggiornamento una volta che la qualità dello stesso sia sufficiente a consentirne la distribuzione.

Assistenza tecnica

Se si ritiene di essere colpiti da questo potenziale problema, contattare il Servizio Supporto Tecnico Clienti Microsoft per assistenza.

• Per l'aggiornamento gratuito della protezione e del supporto inerente ai virus negli Stati Uniti e in Canada, chiamare (866) PCSAFETY (727-2338) (la telefonata è gratuita).
• Per tutti gli altri Paesi, contattare la sede Microsoft locale.

Sviluppo di una strategia di protezione

Linee guida di natura tecnica, strumenti, formazione e aggiornamenti necessari a pianificare e gestire una strategia di protezione adeguata per la vostra organizzazione.

• Security Guidance Center per Sviluppatori e Professionisti IT