9 Ocak 2007 Salı
:: MONO Güvenlik Açığı...
Mono XSP ASP.NET sunucusundaki bir güvenlik açığı işlemde olan sunucu-taraflı uygulamanın kaynak kodlarını ifşa ediyor!
Etkilenen Sistemler:
* Mono version 1.2.1
* XSP for ASP.NET version 1.1 and version 2.0
Keşfeden:
José Ramón Palanco
jose.palanco(at)eazel(dot)es
http://www.eazel.es
Mono XSP ASP.NET sunucusundaki bir güvenlik açığı işlemde olan sunucu-taraflı uygulamanın kaynak kodlarını ifşa ediyor!
Bildiğiniz üzere; sunucu-taraflı çalışan web uygulamalarının kaynak kodlarında gizli kalması gereken ve 3. kişiler tarafından ulaşılacak olursa baş ağrıtabilecek bilgiler bulunmaktadır.İşte bu bilgiler; mono üzerinde bulunan bir güvenlik açığıyla artık dışarıdan da erişilebilir haldeler.
Saldırganın herhangi bir dosyanın kaynak koduna erişebilmesi icin adresin sonuna %20 eklemesi yeterli.
Yani saldırgan kaynak koduna ulaşmak istedigi dosyanin kaynak koduna
http://www.server.com/app/Default.aspx%20
adresinden ulaşabilir.
Yama için:
http://www.eazel.es/advisory007-mono-xsp-source-disclosure-vulnerability.patch
Kaynak:
http://www.eazel.es/advisory007-mono-xsp-source-disclosure-vulnerability.html