Menü
Alert!
Security

Microsoft warnt vor Rechteausweitung durch ASP.NET-Schwachstellen

Entwickler, die Web-Apps mit dem ASP.NET-Core-Framework bauen, sollten checken, ob sie verwundbare Module verwenden. Diese sollten gegen neuere Versionen ausgetauscht werden, um Missbrauch durch Angreifer zu verhindern.

Von
vorlesen Drucken Kommentare lesen 9 Beiträge
Microsoft warn vor Rechteausweitung durch ASP.NET-Schwachstellen

Microsoft warnt vor einer Sicherheitslücke in seinem quelloffenen Web-Application-Framework ASP.NET Core. Entwickler, die bestimmte Module in ihren Projekten einsetzen, machen diese angreifbar, da der Software ein falscher Nutzer vorgespielt werden kann – was dazu führt, dass der Angreifer Nutzerrechte unter Umständen dramatisch auszuweiten vermag. In einer Sicherheitsmeldung erklärt Microsoft das Problem und zeigt, wie Entwickler die Lücke schließen können.

Entwickler, die eine dieser Komponenten einsetzen, sollten ihren Code absichern.

(Bild: Microsoft)

Oft ist es gar nicht so einfach abzuschätzen, ob das eigene Projekt verwundbar ist. So kann es vorkommen, dass der eigene Code keins der verwundbaren Module verwendet, ein eingebettetes Modul wiederum aber schon. Solche transitiven Abhängigkeiten kann man sich allerdings in Visual Studio anzeigen lassen.

Ansicht von transitiven Abhängigkeiten in Visual Studio.

(Bild: Microsoft)

Microsoft empfiehlt, das Update "Microsoft .NET Core 1.0.1 – VS 2015 Tooling Preview 2" einzuspielen, um verwundbare Versionen der Module loszuwerden. Danach müssen die Abhängigkeiten von verwundbaren Modulen in der project.json Datei des Projektes durch die neuen Versionen ersetzt werden. Zum Abschluss muss die App neu zusammengebaut werden. (fab)