Όχι σωτήρη καλά έκανες. Αυτό το Link δεν είχε δημοσιευτεί στο forum. Απλά στην ουσία απαντάει συγκεντρωτικά σε όλα αυτά τα comments που έγραψαν οι επισκέπτες στο πρώτο post του Scott.

---

Νικόλαος Καντζέλης
BSc, MSc, MCAS, MCPD, MCITP, MCTS,MCP, MCT

http://www.nksolutions.gr http://dotnetstories.wordpress.com http://weblogs.asp.net/dotnetstories http://forum.dotnetnuke.gr

Γιουχουου, Microsoft, τι χαμπάρια; Βαρέθηκα να patchάρω web.configs...:)

---

Σωτήρης Φιλιππίδης

DotSee Web Services

Α, και προσοχή: Το script που δίνει ο τυπάκος για να βρείτε τα web.configs ΔΕΝ σας βγάζει ως vulnerable τα web.configs που ΔΕΝ έχουν καθόλου customErrors section. Ομως, αυτά λειτουργούν σαν On (ή remoteOnly, δεν είμαι σίγουρος) χωρίς defaultRedirect συνεπώς θα πρέπει να τα φτιάξετε γιατί αλλιώς διαχωρίζεται ο τύπος του error που επιστρέφεται, κάτι που κάνει τα πράγματα εύκολα γενικά για τους πονηρούς.

---

Σωτήρης Φιλιππίδης

DotSee Web Services

Σωτήρη είπανε ότι δουλεύουνε πάνω στο patch. Ο joe brinkman ανακοίνωσε στο blog του ότι to 5.5.1 version του dotnetnuke έχει ήδη λύσει το πρόβλημα αυτού του security threat.

---

Νικόλαος Καντζέλης
BSc, MSc, MCAS, MCPD, MCITP, MCTS,MCP, MCT

http://www.nksolutions.gr http://dotnetstories.wordpress.com http://weblogs.asp.net/dotnetstories http://forum.dotnetnuke.gr

Σε αυτό το blog post  o Scott Gu έχει ένα update για το security threat που έχει προκύψει για όλες τις asp.net εφαρμογές.Δεν είναι το fix αλλά επιπλέον βήματα για την μεγαλύτερη ασφάλεια των web εφαρμογών μας.

---

Νικόλαος Καντζέλης
BSc, MSc, MCAS, MCPD, MCITP, MCTS,MCP, MCT

http://www.nksolutions.gr http://dotnetstories.wordpress.com http://weblogs.asp.net/dotnetstories http://forum.dotnetnuke.gr

Σύμφωνα με τον Scott Gu αύριο η MS θα κάνει release ένα security update για την επίλυση του ΑSP.Net security threat.

Για τα download links δείτε το παραπάνω link αύριο.

Το update θα λύνει το πρόβλημα χωρίς να χρειάζεται να καταφεύγουμε στα διάφορα workarounds.

Θα είναι διαθέσιμο μέσω των windows update και windows server update.

---

Νικόλαος Καντζέλης
BSc, MSc, MCAS, MCPD, MCITP, MCTS,MCP, MCT

http://www.nksolutions.gr http://dotnetstories.wordpress.com http://weblogs.asp.net/dotnetstories http://forum.dotnetnuke.gr

Το ASP.NET Security Update είναι πλέον διαθέσιμο.

Μπορείτε από εδώ να κατεβάσετε το Update το οποίο είναι το κατάλληλο για το λειτουργικό σας.

---

Νικόλαος Καντζέλης
BSc, MSc, MCAS, MCPD, MCITP, MCTS,MCP, MCT

http://www.nksolutions.gr http://dotnetstories.wordpress.com http://weblogs.asp.net/dotnetstories http://forum.dotnetnuke.gr

Το ASP.Net Security fix είναι τώρα διαθέσιμο από το windows update και το windows Server update services.

Περισσότερα δείτε εδώ

---

Νικόλαος Καντζέλης
BSc, MSc, MCAS, MCPD, MCITP, MCTS,MCP, MCT

http://www.nksolutions.gr http://dotnetstories.wordpress.com http://weblogs.asp.net/dotnetstories http://forum.dotnetnuke.gr

το αρχικό workarround που πρότεινε η MS έθετε κοινό custom error page όπου είχε χρονοκαθυστέρηση για να μην μπορεί να προβλεφτεί ποιό exception έγινε (page not found ή viewstate decryption error κλπ.)

το τελικό fix στο Windows Update δεν χρειάζεται αυτό, αλλά προσθέτει HMAC signing και validation στα encrypted πακέτα (το σφάλμα αφορούσε όλες τις μεθόδους κρυπτογράφησης [και όχι μόνο AES που ανέφεραν αρχικά, αλλά και 3DES κλπ.] με PKCS7 header [αν θυμάμαι καλά το όνομα του])

---

Microsoft MVP J# 2004-2010
Borland Spirit of Delphi 2001
http://zoomicon.com

Ας πούμε λοιπόν "λήξη συναγερμού", και ας ευχηθούμε να ΜΗΝ είναι πολλά τα συστήματα που έχουν γίνει ήδη compromise χωρίς να το έχουν πάρει χαμπάρι οι admins. Είδατε τι έγινε στο dotnetnuke.com; Ανακάλυψαν (κοιτώντας τα logs) οτι κάποιος τους είχε ήδη χακάρει με το POET vulnerability και αναγκάστηκαν να αλλάξουν machine key και να κάνουν reencrypt τα passwords 800.000 μελών (κατά δήλωσή τους). Τους πήρε περίπου 3 μέρες με down το site. 

---

Σωτήρης Φιλιππίδης

DotSee Web Services

Ναι διάβασα το post της cathy connoly... Σωτήρη στα dnn sites έχει γίνει Party..... τουλάχιστον ότι έχω εγώ Host τα έχω στον άγγελο και πατσάραμε τα πάντα σύμφωνα με τις διαδικασίες.

---

Νικόλαος Καντζέλης
BSc, MSc, MCAS, MCPD, MCITP, MCTS,MCP, MCT

http://www.nksolutions.gr http://dotnetstories.wordpress.com http://weblogs.asp.net/dotnetstories http://forum.dotnetnuke.gr

Ποιό είναι αυτό το post?

---

Σωτήρης Φιλιππίδης

DotSee Web Services

http://www.dotnetnuke.com/Community/Blogs/tabid/825/EntryId/2822/Word-of-warning-some-users-may-need-to-change-passwords-to-meet-complexity-rules.aspx

---

Νικόλαος Καντζέλης
BSc, MSc, MCAS, MCPD, MCITP, MCTS,MCP, MCT

http://www.nksolutions.gr http://dotnetstories.wordpress.com http://weblogs.asp.net/dotnetstories http://forum.dotnetnuke.gr

Α, ναι. Το διάβασα κι εγώ.

---

Σωτήρης Φιλιππίδης

DotSee Web Services

Όπως λέει και ο Scott το λάθος αυτό δεν σημαίνει και Poet attack

"Note that there are non-attack reasons to see this error as well (including cases where you have mismatched keys on a web-farm, or a search engine is following links incorrectly, etc), so its presence does not necessarily indicate an attack. "

---

Νικόλαος Καντζέλης
BSc, MSc, MCAS, MCPD, MCITP, MCTS,MCP, MCT

http://www.nksolutions.gr http://dotnetstories.wordpress.com http://weblogs.asp.net/dotnetstories http://forum.dotnetnuke.gr