Vulnerabilidad ASP.NET Security Advisory 2659883


Ya está disponible la solución para descarga
desde Windows Update

El pasado 27 de Diciembre se ha detectado una vulnerabilidad en ASP.NET que permite a un usuario obtener todos los recursos de la máquina pudiendo llegar a provocar una denegación del servicio.

La información oficial del problema la encontraréis en Vulnerability in ASP.NET Could Allow Denial of Service.

Desde el post More information about the December 2011 ASP.Net vulnerability y encontraréis información detallada del problema y cómo solventarlo temporalmente.

La solución ya se ha liberado y estará disponible para descarga desde el servicio de Windows Update o  Micosoft Download Center el 29 de Diciembre sobre las 10 am hora del pacífico.

Una solución temporal consiste en limitar el tamaño máximo de las peticiones que admite ASP.net modificando en el fichero Web.config la propiedad “maxRequestLength” :

en el caso que utilicemos ViewState (por defecto):

<configuration>
<system.web>
<httpRuntime maxRequestLength="200”/>
</system.web>
</configuration>
en el caso que no utilicemos ViewState:
<configuration>
<system.web>
<httpRuntime maxRequestLength="20”/>
</system.web>
</configuration>
Debemos ser consciente que si modificamos la propiedad “maxRequestLength” podremos encontrarnos con alguna contraindicación en el funcionamiento de nuestro servicio, como por ejemplo la subida de ficheros.
Tendremos que realizar antes estos cambios en nuestro entorno de pruebas antes de realizarlo en un entorno productivo o real.
Cuando aparezca el parche lo notificaré desde este mismo post.

Publicado por

Mario Cortés

Mario Cortés Flores es MVP en Office 365, trabaja en Plain Concepts como Team Manager y escribe habitualmente en geeks.ms/blogs/mcortes y en Twitter @mariocortesf. Podréis encontrarlo colaborando activamente con la comunidad de MadPoint y SUGES

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *