Microsoft hat bereits am Dienstag, den 13. September 2016 ein Security Advisory zu ASP.NET herausgegeben, in der vor einer Sicherheitslücke gewarnt wird.
Anzeige
Die Sicherheitslücke betrifft die ASP.NET Core View Components, die eine Rechteerweiterung ermöglichen kann. Die Sicherheitsanfälligkeit findet sich in der öffentlichen Version von ASP.NET Core MVC 1.0.0. Die Klasse View Components kann falsche Informationen, darunter auch Details zum aktuellen authentifizierten Benutzer, enthalten. Ist eine View Component von dem anfälligen Code abhängig, könnte das zu Problemen und zu einer Erhöhung von Berechtigungen führen. Es sind folgende Paketversionen betroffen:
|
Betroffene Pakete und Versionen |
||
|
Paketname |
Paketversion |
|
|
Microsoft.AspNetCore.Mvc |
1.0.0 |
|
|
Microsoft.AspNetCore.Mvc.Abstractions |
1.0.0 |
|
|
Microsoft.AspNetCore.Mvc.ApiExplorer |
1.0.0 |
|
|
Microsoft.AspNetCore.Mvc.Core |
1.0.0 |
|
|
Microsoft.AspNetCore.Mvc.Cors |
1.0.0 |
|
|
Microsoft.AspNetCore.Mvc.DataAnnotations |
1.0.0 |
|
|
Microsoft.AspNetCore.Mvc.Formatters.Json |
1.0.0 |
|
|
Microsoft.AspNetCore.Mvc.Formatters.Xml |
1.0.0 |
|
|
Microsoft.AspNetCore.Mvc.Localization |
1.0.0 |
|
|
Microsoft.AspNetCore.Mvc.Razor |
1.0.0 |
|
|
Microsoft.AspNetCore.Mvc.Razor.Host |
1.0.0 |
|
|
Microsoft.AspNetCore.Mvc.TagHelpers |
1.0.0 |
|
|
Microsoft.AspNetCore.Mvc.ViewFeatures |
1.0.0 |
|
|
Microsoft.AspNetCore.Mvc.WebApiCompatShim |
1.0.0 |
|
Weitere Details finden sich in der Microsoft-Sicherheitsempfehlung 3181759 sowie bei heise.de.
2015
Woher weiß man, ob bzw. welches Paket man auf seinem Gerät hat, und was kann man als Nutzer tun, um sich zu schützen?
Das Thema ist imho nur für ASP-NET-Entwickler von Interesse. Die müssen in den Anwendungen reagieren, wenn Abfragen zur Steuerung verwendet werden.
Vielen lieben Dank! :-)
Ich wünsche Ihnen und Ihrer Frau ein schönes Wochenende!