https://www.dotnetzone.gr:443/cs/forums/10/ShowForum.aspxΣχολιασμός των ειδήσεων της πρώτης σελίδας του dotNetZone.grelCommunityServer 2.1 SP3 (Build: 20423.1)https://www.dotnetzone.gr:443/cs/forums/thread/60505.aspxFri, 08 Oct 2010 10:01:16 GMT2622095e-976c-431a-859e-16783ec7ecd7:60505nikolaosk0https://www.dotnetzone.gr:443/cs/forums/thread/60505.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=10&PostID=60505Όπως λέει και ο Scott το λάθος αυτό δεν σημαίνει και Poet attack<br><br>"<font size="2"><font>Note that there are non-attack reasons to see this error as well (including cases where you have mismatched keys on a web-farm, or a search engine is following links incorrectly, etc), so its presence does not necessarily indicate an attack. </font></font>"<br>https://www.dotnetzone.gr:443/cs/forums/thread/60503.aspxFri, 08 Oct 2010 07:37:58 GMT2622095e-976c-431a-859e-16783ec7ecd7:60503cap0https://www.dotnetzone.gr:443/cs/forums/thread/60503.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=10&PostID=60503Α, ναι. Το διάβασα κι εγώ.<div><br></div><div>Σχετικά με αυτό:&nbsp;<a href="http://weblogs.asp.net/scottgu/archive/2010/09/20/frequently-asked-questions-about-the-asp-net-security-vulnerability.aspx">http://weblogs.asp.net/scottgu/archive/2010/09/20/frequently-asked-questions-about-the-asp-net-security-vulnerability.aspx</a>&nbsp;που λέει πώς φαίνεται το POET attack στα logs, το error id 3005 είναι όντως αυτο; Η είναι ευρύτερο το range;</div><div><br></div>https://www.dotnetzone.gr:443/cs/forums/thread/60502.aspxFri, 08 Oct 2010 07:22:32 GMT2622095e-976c-431a-859e-16783ec7ecd7:60502nikolaosk0https://www.dotnetzone.gr:443/cs/forums/thread/60502.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=10&PostID=60502http://www.dotnetnuke.com/Community/Blogs/tabid/825/EntryId/2822/Word-of-warning-some-users-may-need-to-change-passwords-to-meet-complexity-rules.aspxhttps://www.dotnetzone.gr:443/cs/forums/thread/60499.aspxFri, 08 Oct 2010 07:10:52 GMT2622095e-976c-431a-859e-16783ec7ecd7:60499cap0https://www.dotnetzone.gr:443/cs/forums/thread/60499.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=10&PostID=60499Ποιό είναι αυτό το post?<div><br></div>https://www.dotnetzone.gr:443/cs/forums/thread/60496.aspxFri, 08 Oct 2010 06:56:09 GMT2622095e-976c-431a-859e-16783ec7ecd7:60496nikolaosk0https://www.dotnetzone.gr:443/cs/forums/thread/60496.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=10&PostID=60496Ναι διάβασα το post της cathy connoly... Σωτήρη στα dnn sites έχει γίνει Party..... τουλάχιστον ότι έχω εγώ Host τα έχω στον άγγελο και πατσάραμε τα πάντα σύμφωνα με τις διαδικασίες.<br>https://www.dotnetzone.gr:443/cs/forums/thread/60489.aspxFri, 08 Oct 2010 06:38:54 GMT2622095e-976c-431a-859e-16783ec7ecd7:60489cap0https://www.dotnetzone.gr:443/cs/forums/thread/60489.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=10&PostID=60489Ας πούμε λοιπόν "λήξη συναγερμού", και ας ευχηθούμε να ΜΗΝ είναι πολλά τα συστήματα που έχουν γίνει ήδη compromise χωρίς να το έχουν πάρει χαμπάρι οι admins. Είδατε τι έγινε στο dotnetnuke.com; Ανακάλυψαν (κοιτώντας τα logs) οτι κάποιος τους είχε ήδη χακάρει με το POET vulnerability και αναγκάστηκαν να αλλάξουν machine key και να κάνουν reencrypt τα passwords 800.000 μελών (κατά δήλωσή τους). Τους πήρε περίπου 3 μέρες με down το site.&nbsp;<div><br></div><div><br></div>https://www.dotnetzone.gr:443/cs/forums/thread/60415.aspxMon, 04 Oct 2010 23:31:26 GMT2622095e-976c-431a-859e-16783ec7ecd7:60415Μπιρμπίλης Γεώργιος0https://www.dotnetzone.gr:443/cs/forums/thread/60415.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=10&PostID=60415<P>το αρχικό workarround που πρότεινε η MS έθετε κοινό custom error page όπου είχε χρονοκαθυστέρηση για να μην μπορεί να προβλεφτεί ποιό exception έγινε (page not found ή viewstate decryption error κλπ.) </P> <P>το τελικό fix στο Windows Update δεν χρειάζεται αυτό, αλλά προσθέτει HMAC signing και validation στα encrypted πακέτα (το σφάλμα αφορούσε όλες τις μεθόδους κρυπτογράφησης [και όχι μόνο AES που ανέφεραν αρχικά, αλλά και 3DES κλπ.] με PKCS7 header [αν θυμάμαι καλά το όνομα του])</P>https://www.dotnetzone.gr:443/cs/forums/thread/60377.aspxSun, 03 Oct 2010 04:23:16 GMT2622095e-976c-431a-859e-16783ec7ecd7:60377nikolaosk0https://www.dotnetzone.gr:443/cs/forums/thread/60377.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=10&PostID=60377Το ASP.Net Security fix είναι τώρα διαθέσιμο από το windows update και το windows Server update services.<br><br>Περισσότερα δείτε <a href="http://weblogs.asp.net/scottgu/archive/2010/09/30/asp-net-security-fix-now-on-windows-update.aspx">εδώ</a><br>https://www.dotnetzone.gr:443/cs/forums/thread/60348.aspxWed, 29 Sep 2010 09:14:37 GMT2622095e-976c-431a-859e-16783ec7ecd7:60348nikolaosk0https://www.dotnetzone.gr:443/cs/forums/thread/60348.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=10&PostID=60348Το ASP.NET Security Update είναι πλέον διαθέσιμο.<br><br>Μπορείτε από <a href="http://weblogs.asp.net/scottgu/archive/2010/09/28/asp-net-security-update-now-available.aspx">εδώ</a> να κατεβάσετε το Update το οποίο είναι το κατάλληλο για το λειτουργικό σας.<br>https://www.dotnetzone.gr:443/cs/forums/thread/60347.aspxWed, 29 Sep 2010 08:22:18 GMT2622095e-976c-431a-859e-16783ec7ecd7:60347nikolaosk0https://www.dotnetzone.gr:443/cs/forums/thread/60347.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=10&PostID=60347Σύμφωνα με τον <a href="http://weblogs.asp.net/scottgu/archive/2010/09/27/asp-net-security-update-shipping-tuesday-sept-28th.aspx">Scott Gu</a> αύριο η MS θα κάνει release ένα security update για την επίλυση του ΑSP.Net security threat.<br><br>Για τα download links δείτε το παραπάνω link αύριο.<br><br>Το update θα λύνει το πρόβλημα χωρίς να χρειάζεται να καταφεύγουμε στα διάφορα workarounds.<br><br>Θα είναι διαθέσιμο μέσω των windows update και windows server update. <br>https://www.dotnetzone.gr:443/cs/forums/thread/60249.aspxSat, 25 Sep 2010 10:41:47 GMT2622095e-976c-431a-859e-16783ec7ecd7:60249nikolaosk0https://www.dotnetzone.gr:443/cs/forums/thread/60249.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=10&PostID=60249Σε αυτό το blog <a target="_blank" href="http://weblogs.asp.net/scottgu/archive/2010/09/24/update-on-asp-net-vulnerability.aspx">post</a>&nbsp; o Scott Gu έχει ένα update για το security threat που έχει προκύψει για όλες τις asp.net εφαρμογές.Δεν είναι το fix αλλά επιπλέον βήματα για την μεγαλύτερη ασφάλεια των web εφαρμογών μας.<br>https://www.dotnetzone.gr:443/cs/forums/thread/60232.aspxFri, 24 Sep 2010 04:28:45 GMT2622095e-976c-431a-859e-16783ec7ecd7:60232nikolaosk0https://www.dotnetzone.gr:443/cs/forums/thread/60232.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=10&PostID=60232Σωτήρη είπανε ότι δουλεύουνε πάνω στο patch. Ο joe brinkman ανακοίνωσε στο blog του ότι to 5.5.1 version του dotnetnuke έχει ήδη λύσει το πρόβλημα αυτού του security threat.<br>https://www.dotnetzone.gr:443/cs/forums/thread/60231.aspxFri, 24 Sep 2010 03:05:51 GMT2622095e-976c-431a-859e-16783ec7ecd7:60231cap0https://www.dotnetzone.gr:443/cs/forums/thread/60231.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=10&PostID=60231Α, και προσοχή: Το script που δίνει ο τυπάκος για να βρείτε τα web.configs ΔΕΝ σας βγάζει ως vulnerable τα web.configs που ΔΕΝ έχουν καθόλου customErrors section. Ομως, αυτά λειτουργούν σαν On (ή remoteOnly, δεν είμαι σίγουρος) χωρίς defaultRedirect συνεπώς θα πρέπει να τα φτιάξετε γιατί αλλιώς διαχωρίζεται ο τύπος του error που επιστρέφεται, κάτι που κάνει τα πράγματα εύκολα γενικά για τους πονηρούς.<div><br></div><div>Η 3.1 έκδοση του vbs script νομίζω είναι και η πιό πρόσφατη διαθέσιμη:&nbsp;<a href="http://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx">http://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx</a></div>https://www.dotnetzone.gr:443/cs/forums/thread/60230.aspxFri, 24 Sep 2010 03:02:26 GMT2622095e-976c-431a-859e-16783ec7ecd7:60230cap0https://www.dotnetzone.gr:443/cs/forums/thread/60230.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=10&PostID=60230Γιουχουου, Microsoft, τι χαμπάρια; Βαρέθηκα να patchάρω web.configs...:)<div><br></div>https://www.dotnetzone.gr:443/cs/forums/thread/60146.aspxTue, 21 Sep 2010 17:25:49 GMT2622095e-976c-431a-859e-16783ec7ecd7:60146nikolaosk0https://www.dotnetzone.gr:443/cs/forums/thread/60146.aspxhttps://www.dotnetzone.gr:443/cs/forums/commentrss.aspx?SectionID=10&PostID=60146Όχι σωτήρη καλά έκανες. Αυτό το Link δεν είχε δημοσιευτεί στο forum. Απλά στην ουσία απαντάει συγκεντρωτικά σε όλα αυτά τα comments που έγραψαν οι επισκέπτες στο πρώτο post του Scott.<br>