dolezel.net

Co není v hlavě, je v blogu...

Mimořádný hotfix pro ASP.NET chybu

Doplnění 1.10.: Teprve před půlnocí z 30.9. na 1.10. Microsoft zveřejnil patche na Windows Update, resp. Microsoft Update, resp. WSUS. Ruční instalace byla pěkná pruda, protože bylo nutné stáhnout hotfixy pro všechny .NET Framework instalace, které se na konkrétním serveru nacházely. Nyní je to tedy daleko jednodušší.

Microsoft včera večer vydal hotfix pro závažnou ASP.NET zranitelnost. Security Bulletin MS10-070 je zde. Článek v MSKB 2418042 pak tady. Tento dokument pak popisuje bohužel též “Known issues”, takže doporučuji před instalací pročíst (a samozřejmě zálohovat). O problému podrobně informoval Scott Guthrie, jeho článek o vydání hotfixu je zde. Jeho článek obsahuje přímé odkazy na patch soubory pro jednotlivé OS a .NET FW verze (i když je doporučeno aktualizovat přes Microsoft Update/WSUS).

Týmy zodpovědné za Sharepoint i Exchange potvrdily “nezávadnost” tohoto patche. No uvidíme.

Po provedení patche je možné odstranit všechny obezličky, které se provizorně nasazovaly (úpravy ve web.config souborech, modul Michala Valáška, nasazení URLScan nebo IIS 7.5 Request Filtering).

Technet předplatné–snížení počtu klíčů

Také máte zažito, že MSDN a Technet předplatné obsahují 10 klíčů k téměř každému produktu? Tak s tím je nyní konec. Microsoft potichu snížil počty u Technet Professional na 5 a u Technet Standard dokonce na 2 klíče. Důvodem je boj proti pirátům. Technet klíče prý byly zneužívány a šířeny s padělanými SW instalacemi.

U MSDN předplatného k žádné změně nedochází.

ASP.NET chyba–zatím pořád bez hotfixu

Jelikož je týden známá chyba pořád bez hotfixu, je pro všechny servery s libovolným ASP.NET vystaveným do Internetu velmi doporučeno aplikovat všechny dostupné obezličky, jak případný útok ztížit, zpomalit, detekovat.

Pravidelně sleduji novější informace a průběžně aktualizuji původní článek. Nově je do obrany před útokem začleněna instalace a konfigurace URLScan nebo Request Filtering feature v případě IIS 7.5.

Kritická chyba všech verzí ASP.NET na všech platformách

Doplnění 29.9.2010 – včera večer vydal Microsoft mimořádný ASP.NET hotfix. Více info zde. Všechny níže uvedené postupy, jak se případnému útoku bránit, již nejsou potřeba. Pozor ale na známé problémy tohoto patche.

Doplnění 25.9.2010 – Scott Guthrie na svém blogu publikoval další informace, jak před vydáním hotfixu minimalizovat potenciální riziko. Tentokrát jde o instalaci a konfiguraci nástroje URLScan. Tato úprava probíhá na serverové úrovni (nikoliv po jednotlivých aplikacích) a je časově i technicky nenáročná. Pokud máte IIS 7.5, lze místo URLScan použít Request Filtering feature dle instrukcí uvedených ve Workarounds tohoto článku, případně dle tohoto minimalistického návodu – nainstaluj fíčuru a spusť:

appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']

Doplnění 21.9.2010 – Microsoft revidoval Security Advisory 2416728 s tím, že již mu jsou hlášeny ojedinělé aktivní útoky prostřednictvím níže popisované zranitelnosti. Před chvílí jsem byl upozorněn, že Michal Valášek napsal modul do IIS 7.x, který zjednodušuje současnou dostupnou obranu proti případnému útoku. Bližší info zde – Modul pro jednoduchý workaround bezpečnostní chyby v ASP.NET.

V noci z pátku na sobotu byl na nějaké bezpečnostní konferenci demonstrován kód, který umožňuje dekryptovat data zaslaná ze serverové ASP.NET stránky na klienta (třeba ViewState data). To je sice hloupé, ale týkalo by se to vždy pouze jednoho konkrétního uživatele. Objevená chyba však umožňuje daleko horší věc – stáhnout ze serveru  libovolné soubory, k nimž má identita aplikačního poolu, v němž daný web běží, právo přístupu. A to už je blbé, hodně blbé. Útočník si tak může stáhnout třeba soubor web.config, v němž jsou často uloženy connection strings do databází včetně jmen, hesel, definice používaných webových služeb se jmény a hesly, definice IP restrikcí, definice omezení přístupů do částí webu jen pro konkrétní uživatele nebo jejich skupiny – tohle jsou informace, které rozhodně nejsou určené nikomu nepovolanému. Více...

Instalace Windows Live Wave 4 aplikací

Dlouhou dobu používám Windows Live Writer 14.0.8064.206 cs. Všiml jsem si, že se mi již nějakou dobu nabízí volitelná aktualizace v podobě upgrade na Windows Live Wave 4 aplikace. Bohužel každý pokus o instalaci nabídnutou přes Windows Update dopadne úplně stejně jako pokusy o instalaci z http://explore.live.com/windows-live-essentials?os=win7. Více...

ITIL, MOF, Exchange

Při vyřčení libovolné z prvních dvou zkratek mne jímá hrůza, že se v následující sekundě potkám s “proškoleným” konzultantem, který absolvoval řadu školení na uvedené téma, ale vlastní práce ho jaksi minula. Bohužel bez alespoň obecné povědomosti, co tyto termíny znamenají, to v brzké době bude čím dál tím těžší, takže si zde shromáždím pár užitečných linků.

MOF a Exchange 2007
MOF 4.0

ITIL Official Website
Best Management Practice

Pro MS návrháře i konzultanty je pak výborný (i když nepředstavitelně rozsáhlý) Infrastructure Planning and Design.

Aktivace Windows 2008 Core po telefonu

Právě jsem zjistil, že aktivovat Core edici bez připojení na Internet je docela legrace. Na jednom bohem zapomenutém serveru zaboha nešly nainstalovat aktualizace – až po chvíli jsem si všiml, že v pravém dolním rohu svítí nápis “This copy of Windows is not genuine”. S Core edicí nejsem zatím příliš kamarád, takže jsem na server promptně dotlačil CoreConfigurator,  abych se vzápětí dozvěděl, že se zadáním licenčního čísla se po instalaci serveru již žádný administrátor neobtěžoval.

U běžných GUI Windows vám přímo systém nabídne možnost aktivovat po telefonu a rovnou uvede dostupná čísla pro Českou republiku. To však neplatí pro Core edici. Kde kruci ta čísla hledat? Trvalo mi to docela dlouho, takže po odeslání tohoto článku bude odpověď znít: tady.

Bezplatné číslo: 800 100 074
Placené číslo: +420 221 777 222

Tak tenhle jsem neznal

Zase další vtip, kterýmu bude rozumět jenom pár vyvolených (a z rodiny nikdo) :)

Admin junior: Je to v pytli, na disku už máme místo jenom vpravo.

Admin senior: Cože?!?

Admin junior: No píše to “No space left on this device!”

Rozdíly mezi MS Forefront Client Security a MS Security Essentials

Dnes jsem dostal zajímavou otázku – jaké jsou rozdíly mezi klientskými antiviry nabízenými Microsoftem. Ten první rozdíl je evidentní – FCS je za peníze, SE zadarmo (no, v ČR oficiálně ne, ale budiž). Jak je to ale s dalšími rozdíly?

Odpověď jsem našel na FAQ- Forefront Client Security and Microsoft Security Essentials Comparison. Jelikož se na webu často odkazy mění, tu nejdůležitější tabulku si s dovolením půjčuji.

Key Features of FCS 2.0 and MSE

Feature

Forefront Client Security

Microsoft Security Essentials

Antivirus/Antispyware

Yes

Yes

Rootkit Protection

Yes

Yes

Win 7 & WS 2008 R2 Support

Yes

Yes

Dynamic Signature Service

Yes

Yes

Group Policy Control

Yes

No

Centralized Management & Reporting

Yes

No

Integrated Host Firewall Management

Yes

No

Security State Assessments & Remediation

Yes

No

NAP Integration

Yes

No

External Device Control

Yes

No

Automatic Endpoint Discovery

Yes

No

Microsoft deklaruje, že MSE je antivirus určený výhradně pro koncové uživatele z řad domácností (Consumers).

Bezplatný antivirus od Microsoftu

Na stránce Microsoft Security Essentials byl uveřejněn bezplatný antivirus/antispyware od Microsoftu. Stahovat mohou “Genuine” uživatelé s WXP a Vista či W7 v x86 i x64 edicích. Podle popisu systémových požadavků by to nemusel být žádný žrout, ale to psal svého času Symantec taky :) Zajímavostí je, že Microsoft přímo uvádí podporu Windows XP Mode ve W7 – asi si uvědomili, že seamless integrace je sice nádherná, ale antivirus by měl běžet jak v hostitelském fyzickém, tak hostujícím virtuálním počítači – a v takovém případě by se nízké zatížení virtuálního systému hodilo dvojnásob. Špatná zpráva pro některé české uživatele – čeština není v nabídce.

Aktualizace 18.2.2010 - česká verze je již k dispozici na http://www.microsoft.com/security_essentials/default.aspx?mkt=cs-cz#dlbutton. Více...