dolezel.net

Co není v hlavě, je v blogu...

Mimořádný hotfix pro ASP.NET chybu

Doplnění 1.10.: Teprve před půlnocí z 30.9. na 1.10. Microsoft zveřejnil patche na Windows Update, resp. Microsoft Update, resp. WSUS. Ruční instalace byla pěkná pruda, protože bylo nutné stáhnout hotfixy pro všechny .NET Framework instalace, které se na konkrétním serveru nacházely. Nyní je to tedy daleko jednodušší.

Microsoft včera večer vydal hotfix pro závažnou ASP.NET zranitelnost. Security Bulletin MS10-070 je zde. Článek v MSKB 2418042 pak tady. Tento dokument pak popisuje bohužel též “Known issues”, takže doporučuji před instalací pročíst (a samozřejmě zálohovat). O problému podrobně informoval Scott Guthrie, jeho článek o vydání hotfixu je zde. Jeho článek obsahuje přímé odkazy na patch soubory pro jednotlivé OS a .NET FW verze (i když je doporučeno aktualizovat přes Microsoft Update/WSUS).

Týmy zodpovědné za Sharepoint i Exchange potvrdily “nezávadnost” tohoto patche. No uvidíme.

Po provedení patche je možné odstranit všechny obezličky, které se provizorně nasazovaly (úpravy ve web.config souborech, modul Michala Valáška, nasazení URLScan nebo IIS 7.5 Request Filtering).

Technet předplatné–snížení počtu klíčů

Také máte zažito, že MSDN a Technet předplatné obsahují 10 klíčů k téměř každému produktu? Tak s tím je nyní konec. Microsoft potichu snížil počty u Technet Professional na 5 a u Technet Standard dokonce na 2 klíče. Důvodem je boj proti pirátům. Technet klíče prý byly zneužívány a šířeny s padělanými SW instalacemi.

U MSDN předplatného k žádné změně nedochází.

ASP.NET chyba–zatím pořád bez hotfixu

Jelikož je týden známá chyba pořád bez hotfixu, je pro všechny servery s libovolným ASP.NET vystaveným do Internetu velmi doporučeno aplikovat všechny dostupné obezličky, jak případný útok ztížit, zpomalit, detekovat.

Pravidelně sleduji novější informace a průběžně aktualizuji původní článek. Nově je do obrany před útokem začleněna instalace a konfigurace URLScan nebo Request Filtering feature v případě IIS 7.5.

Kritická chyba všech verzí ASP.NET na všech platformách

Doplnění 29.9.2010 – včera večer vydal Microsoft mimořádný ASP.NET hotfix. Více info zde. Všechny níže uvedené postupy, jak se případnému útoku bránit, již nejsou potřeba. Pozor ale na známé problémy tohoto patche.

Doplnění 25.9.2010 – Scott Guthrie na svém blogu publikoval další informace, jak před vydáním hotfixu minimalizovat potenciální riziko. Tentokrát jde o instalaci a konfiguraci nástroje URLScan. Tato úprava probíhá na serverové úrovni (nikoliv po jednotlivých aplikacích) a je časově i technicky nenáročná. Pokud máte IIS 7.5, lze místo URLScan použít Request Filtering feature dle instrukcí uvedených ve Workarounds tohoto článku, případně dle tohoto minimalistického návodu – nainstaluj fíčuru a spusť:

appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']

Doplnění 21.9.2010 – Microsoft revidoval Security Advisory 2416728 s tím, že již mu jsou hlášeny ojedinělé aktivní útoky prostřednictvím níže popisované zranitelnosti. Před chvílí jsem byl upozorněn, že Michal Valášek napsal modul do IIS 7.x, který zjednodušuje současnou dostupnou obranu proti případnému útoku. Bližší info zde – Modul pro jednoduchý workaround bezpečnostní chyby v ASP.NET.

V noci z pátku na sobotu byl na nějaké bezpečnostní konferenci demonstrován kód, který umožňuje dekryptovat data zaslaná ze serverové ASP.NET stránky na klienta (třeba ViewState data). To je sice hloupé, ale týkalo by se to vždy pouze jednoho konkrétního uživatele. Objevená chyba však umožňuje daleko horší věc – stáhnout ze serveru  libovolné soubory, k nimž má identita aplikačního poolu, v němž daný web běží, právo přístupu. A to už je blbé, hodně blbé. Útočník si tak může stáhnout třeba soubor web.config, v němž jsou často uloženy connection strings do databází včetně jmen, hesel, definice používaných webových služeb se jmény a hesly, definice IP restrikcí, definice omezení přístupů do částí webu jen pro konkrétní uživatele nebo jejich skupiny – tohle jsou informace, které rozhodně nejsou určené nikomu nepovolanému. Více...

Task Scheduler a Powershell skripty

Téma se týká obecně jakýchkoliv skriptů. Microsoft tak nějak opouští čistě synchronní GUI prostředí (předpokládám, že z důvodu rychlosti a snadnosti programování), takže se může snadno stát, že to, co je zobrazeno, není až tak docela pravda. Spustil jsem Powershell skript jako načasovanou úlohu, jejím cílem mělo být zpracování něčeho a doručení výsledků e-mailem. E-mail došel, nicméně v Task Scheduleru pořád koukám na Result 0x41301. Více...

Klávesové zkratky pro Windows 7

Windows 7, potažmo Windows Server 2008, obsahují hromadu zkratek usnadňujících život. Má to jediný problém – kdo si je má pamatovat? Smile

Práce s klávesou WIN

WIN+UP: maximalizace aktivního okna
WIN+DOWN: obnovení či minimalizace aktivního okna
WIN+LEFT: přichycení vlevo aktivního okna
WIN+RIGHT: přichycení vpravo aktivního okna
WIN+HOME: obnovení nebo maximalizace všech ostatních oken
WIN+T: opakovaným stisknutím se vybírají položky hlavního menu
WIN+mezerník: náhled plochy, WIN klávesa se musí držet
WIN+G: přenesení miniaplikace do popředí (pokud jsou povoleny a spuštěny)
WIN+1 až 9: spuštění programu v hlavním menu
WIN+num. +: přiblížení (aktivace lupy), nepoužívat bez numerické klávesnice
WIN+num. –: oddálení (deaktivace lupy), nepoužívat bez numerické klávesnice

Zkratky pro hlavní panel

SHIFT+kliknutí na ikonu: spuštění programu, alternativa k dvoj-kliku, to samé provede i kliknutí prostředním tlačítkem nebo rolovacím tlačítkem myši
SHIFT+kliknutí pravým tlačítkem na ikonu: zobrazení plovoucího menu s rozšiřujícími možnostmi
Přetažení myší s levým stisknutým tlačítkem z ikony pryč: otevření seznamu odkazů (pokud je daný program podporuje), alternativa ke kliknutí pravým tlačítkem na ikoně

A ještě jeden trik pro rychlé spuštění programu, třeba cmd.exe, jako admina

WIN, napsat “cmd”, stisknout CTRL+SHIFT+ENTER

Virtuální jednotka připojující obrazy DVD na Windows 7

Nejdříve jsem používal DAEMON Tools Lite, tento produkt však měl problém s příchodem W7 a já jsem měl problém s jeho licenčními podmínkami. Proto jsem přešel na Slysoft (Elaborate Bytes) Virtual CloneDrive a ten jsem pro své občasné potřeby namapování ISO obrazu používal až do dneška. Kolega mi připravil .ngr soubor jednoho instalačního DVD a tak jsem přišel na to, že Virtual CloneDrive Nero formát nerad. Co s tím? Vyměnit soft pro virtuální jednotku. Více...

IIS 7 a nefunkční CA delta CRL

Tohle je blbá chyba. Po instalaci interní certifikační autority, která nevyužívá OCSP (Online Certificate Status Protocol), ale spoléhá na starší CRL a delta CRL (Certificate Revocation List), se dříve či později objeví záludné chyby v SSTP, RDP a možná I další komunikaci, která spoléhá na certifikáty. Problém je ve standardní hodnotě DeltaCRL Location, kterou si při instalaci CA vytvoří, a která je v konfliktu s nastavením IIS 7. IIS totiž nedovolí zobrazit soubor, jenž má v názvu +. Chybové hlášky pak mohou vypadat následovně: Více...

Instalace Windows Live Wave 4 aplikací

Dlouhou dobu používám Windows Live Writer 14.0.8064.206 cs. Všiml jsem si, že se mi již nějakou dobu nabízí volitelná aktualizace v podobě upgrade na Windows Live Wave 4 aplikace. Bohužel každý pokus o instalaci nabídnutou přes Windows Update dopadne úplně stejně jako pokusy o instalaci z http://explore.live.com/windows-live-essentials?os=win7. Více...

Přednastavená práva na logickém disku ve W2008

Už se mi párkrát povedlo pocuchat práva na souborovém systému Windows Serveru 2008 RTM, případně R2. Tak jsem si říkal, že by bylo vhodné si poznamenat default nastavení. Více...