Atenção a todos os desenvolvedores ASP.NET!
A Microsoft anunciou esta semana sobre uma falha crítica em todas as versões do framework.
Ocorre o seguinte, segundo alguns hackers que descobriram o problema, arquivos de configuração - como Web.Config, por exemplo - podem ser acessados e lidos. Ou seja, se houver alguma informação sigilosa ali, normalmente é onde os programadores adicionam as "connection strings" (linha de comando de acesso ao Banco de Dados), ela pode ser acessada e utilizada por alguém mal intencionado.
A falha é acessível por meio de telas de erro (famosas telas amarelas do ASP.NET), então como medida temporária, a Microsoft lançou uma atualização que inibe que essa tela apareça. Alterando-a para o alerta abaixo:
|
Página com erro
A exibição do erro da página .NET está temporariamente desativada como forma de evitar problemas maiores em face ao reportado pelo fabricante emhttp://www.microsoft.com/technet/security/advisory/2416728.mspx
A exibição do erro de páginas .NET será reativada assim que houver correção para a vulnerabilidade mencionada.
|
O problema é que se o servidor onde seu sistema está hospedado tiver sido atualizado, enquanto essa falha não for corrigida, as telas de erro ficam inacessíveis e muitos desenvolvedores utilizam as informações ali mostradas para diagnosticar erros. Mas antes isso, a perder um sistema para um hacker mal intencionado.
Uma dica para quem desenvolve, altere arquivo Web.Config da sua aplicação da seguinte forma:
<customErrors defaultRedirect="PaginaPadraoDeErro.htm" mode="Off"></customErrors>
Dessa forma, toda vez que houver um erro na aplicação, o usuário será redirecionado para uma página de erro padrão.
Assim que tivermos mais informações, postamos.
[ATUALIZAÇÃO]
A Microsoft solucionou o caso e já liberou a atualização. Então, atualizem seus servidores ou entrem em contato com seu provedor de hospedagem caso ainda não tenha sido resolvido o problema.
Mais informações em: http://www.microsoft.com/technet/security/advisory/2416728.mspx