|
Microsoft a confirmé l'existence du problème et a indiqué que "cette faille pourrait permettre à un attaquant de modifier le contenu ou l'apparence d'un site web, sans pouvoir prendre le control de la machine vulnérable", voila un commentaire bien rassurant (si on est de nature optimiste).
Des investigations sont donc en cours chez Microsoft. Les administrateurs d'applications ASP.Net peuvent, en attendant le correctif officiel, utiliser un outil de filtrage d'URLs (ex. URLScan) ou remplacer le contenu du fichier global.asax par :
---------------------------------------------------------------------
HttpContext context = ((HttpApplication)sender). Context ;
if (context ! = null)
{
HttpRequest request = context. Request ;
string path = request.Path.ToUpper () ;
if (path. IndexOf("\ \") > -1 || path.IndexOf("%5c") > -1)
{
path = path. Replace("\ \", "/").Replace("%5C", "/") ;
context. RewritePath (path) ;
}
}
---------------------------------------------------------------------
Microsoft a publié un module HTTP et un article associé permettant une correction partielle de cette vulnérabilité.
(Le 05.10.2004)
|
