09.06.2002

MODERAT

Sicherheitslücke in MS-ASP.Net

Microsoft hat eine Sicherheitslücke in ASP.Net bekannt gegeben. Das Problem kann laut Microsoft dann auftreten, wenn ASP-.Net-Anwendungen im so genannten StateServer-Modus laufen. Betroffen sei dabei das MS-.Net-Framework in der Version 1.0.

Buffer-Overflow

Der ungeprüfte Puffer tritt in einer Routine auf, die für die Behandlung von Cookies verantwortlich ist. Ein Angreifer könne über die Sicherheitslücke einen Puffer-Überlauf erwirken.

Die Folge wäre ein Neustart der ASP.Net-Anwendung. Für Anwender der Applikation würde dies den Verlust von Daten und Information der abgebrochenen Session zur Folge haben. Daneben sei es einem Angreifer möglich beliebigen Code auszuführen und ¿DoS-Attacken zu starten.

ASP.Net-Anwendungen, die im StateServer-Mode ohne Cookies laufen sind von der Sicherheitslücke nicht betroffen.