採用ASP.NET技術的網站開發者或是企業請注意,該漏洞非常嚴重且大規模影響到「所有使用ASP.NET技術的網站」,請盡速修正您的網站設定檔或進行相關程式的修訂。
簡單的說就是問題很嚴重,不想因為個資法被告上法院的請盡快處理該漏洞。
非網站開發技術人員可參考這邊
http://avasttw.blogspot.com/2010/09/aspnet.html
網站技術人員請參考這邊
http://blog.miniasp.com/post/2010/09/19/Security-Hack-Exposes-Forms-Authentication-in-ASPNET.aspx
MS的官方警告在這邊
http://www.microsoft.com/technet/security/advisory/2416728.mspx
這個問題還真是大條耶..
有用到的人還真得好好的注意..
我記得在很多的SSL裡也是有用到AES、DES、3DES等的演算法
是否對這個也會有影響呢??
我同意資訊安全很重要
不過
標題有點太重鹹了
1.原文沒提到管理者權限會直接被拿走
從POET網站和微軟公告都沒看到這樣的說法
最多只提到worker process能存取的檔案
2.原文沒提到取得原始加密金鑰
連POET網站都只提到
可以有效率地將加密後的資料解碼
沒有提到
可以反推(取得或所謂的破解)出原始的金鑰
比較有趣的一點是
因為POET的全名是Padding Oracle Exploit Tool
很多人一看到就以為是Oracle資料庫有安全漏洞
微軟還特別針對這點做澄清
「加密金鑰 (MachineKey) 被猜到之後就可以讓駭客用任意身份使用你的網站或任意竄改 ViewState 中的狀態資訊。」
基於以上
所以我說管理者身分都會被拿走.
iThome鐵人賽
看影片追技術