Lo que debería saber sobre una vulnerabilidad registrada en Microsoft ASP.NET

Lo que debería saber sobre una vulnerabilidad registrada en Microsoft ASP.NET
Publicado: 5 de octubre de 2004 Actualizado: 2 de noviembre de 2004
Microsoft continúa investigando una vulnerabilidad registrada en Microsoft ASP.NET.

Según los informes con los que se cuenta, un pirata informático podría enviar solicitudes específicamente diseñadas a un servidor Web en el que se ejecuten aplicaciones ASP.NET y evitar la autenticación basada en formularios o las configuraciones de autorización de Windows, con lo que potencialmente podría acceder a contenido protegido sin proporcionar las credenciales correspondientes. Las investigaciones iniciales han determinado que todas las versiones de ASP.NET podrían verse afectadas, sin importar los componentes IIS instalados o la versión de IIS.
Como medida de prevención, Microsoft recomienda que todos los propietarios y administradores de contenido Web que usen cualquiera de las versiones de ASP.NET lean y apliquen de inmediato alguna de las sugerencias que se ofrecen en los artículos de Microsoft Knowledge Base indicados en esta página.

Nota Esta página se actualizó el 2 de noviembre de 2004, e incluye ahora información sobre una nueva opción disponible de mitigación, un instalador de un módulo HTTP. Este módulo protege a todas las aplicaciones ASP.NET en un servidor Web de los problemas de categorización incorrecta de direcciones URL (canonicalización) conocidos por Microsoft a la fecha de la publicación. Seguiremos actualizando esta página en la medida en que haya más recursos y consejos disponibles.

Guía para administradores de sitios Web
Microsoft pone a disposición de los administradores de sitios Web un módulo HTTP que pueden aplicar a su servidor Web para proteger a todas las aplicaciones ASP.NET en el servidor de los problemas de categorización incorrecta de direcciones URL conocidos por Microsoft a la fecha de la publicación. Tanto el módulo como la guía detallada y la información para su implementación están disponibles en el Centro de descarga de Microsoft.
•
Microsoft ASP.NET ValidatePath module (VPModule.msi) (en inglés)
Para obtener más información sobre la instalación e implementación de este módulo con el fin de proteger a sus servidores, consulte el artículo 887289 de Microsoft Knowledge Base "El módulo HTTP comprueba la existencia de problemas de creación de nombres canónicos con ASP.NET"
Guía para desarrolladores de ASP.NET
Nota Si instala el módulo HTTP, ya no necesitará esta guía.

Microsoft recomienda a los propietarios de páginas Web y a los desarrolladores que apliquen las sugerencias que incluye el artículo 887459 Cómo comprobar mediante programación la existencia de problemas de creación de nombres canónicos con ASP.NET para mitigar este problema. La puesta en práctica de la orientación del artículo en su aplicación ASP.NET, la protegerá contra todo tipo de problemas de categorización incorrecta de direcciones URL conocidos por Microsoft a la fecha de la publicación.

Además de esta orientación, que ayudará a los usuarios a protegerse de este tipo de problema de seguridad, Microsoft está trabajando para ofrecer una actualización de seguridad para ASP.NET que proporcione seguridad adicional a los clientes. Presentaremos la actualización cuando haya alcanzado el nivel de calidad apropiado para su distribución.

Asistencia técnica
Si cree que ha sido afectado por este problema potencial, póngase en contacto con los Servicios de soporte técnico a productos (PSS) de Microsoft.
•
Para obtener asistencia gratuita sobre actualizaciones de seguridad y virus en Estados Unidos y Canadá, llame al (866) 727-2338 (PCSAFETY).
•
Para asistencia en el resto de los países,