.NET : Microsoft publie un correctif de sécurité

Gordon Fowler · 02/01/2012, 12h05

.NET : Microsoft publie un correctif
A appliquer d’urgence

La semaine dernière, quatre failles avaient été découvertes dans .NET. Pour trois d'entre elles, les détails ont été gardés confidentiels par Microsoft pour éviter des exploits zero-days.

Aujourd’hui, l’éditeur publie un correctif sans attendre les cycles de mises à jour habituels. Un correctif qu’il conseille évidemment d’appliquer dans les plus brefs délais.

Les vulnérabilités corrigées concernent toutes les plateformes (WX, Windows 7, Vista, Server 2003, 2008 et 2008 R2). Ces failles permettaient une « élévation des privilèges », autrement dit elles permettaient à un utilisateur d'obtenir des privilèges supérieurs pour devenir par exemple administrateur du système.

Les sites en ASP.NET sont particulièrement concernés.

La mise à jour du framework se fera automatiquement via Windows Update. Mais si celui-ci a été désactivé, Microsoft recommande de lancer manuellement Microsoft Update pour appliquer le patch.

Source : Microsoft Security Bulletin

CHbox · 02/01/2012, 14h23

Je vais profiter de cette news pour faire mon premier post sur ce site (que je fréquente depuis un moment maintenant, mais l'heure n'est pas aux compliments).

Cette maj amène une petite surprise, Microsoft a rajouté un paramètre dans le Web.config (invisible), nommé "MaxHttpCollectionKeys", limitant le maximum d'input pouvant être envoyés dans une requête HTTP POST à 1000. Ça ne posera surement pas de problème à la majorité des sites car 1000 input ça fait quand même pas mal, mais je pense que certains intranet notamment (dont celui sur lequel nous travaillons actuellement) vont être impactés, surtout ceux gérant de grosses masses de données.

Quoiqu'il en soit, il est heureusement possible de modifier ce paramètre dans le Web.config, en rajoutant cette ligne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 <appSettings>
    ...
    <add key="aspnet:MaxHttpCollectionKeys" value="100000"/>
  </appSettings>

Cette Maj nous a fait perdre 2h vendredi derniers car il était assez difficile de trouver cette information (en mettant le mot clé "MaxHttpCollectionKeys", nous avions 1 seul résultat Google, un exploit en soit

), heureusement nous sommes encore en phase de développement, je sent que certaines entreprises vont grincer les dents dans les jours qui viennent.

Thes32 · 03/01/2012, 17h10

Citation:

Envoyé par CHbox

Je vais profiter de cette news pour faire mon premier post sur ce site (que je fréquente depuis un moment maintenant, mais l'heure n'est pas aux compliments).

Cette maj amène une petite surprise, Microsoft a rajouté un paramètre dans le Web.config (invisible), nommé "MaxHttpCollectionKeys", limitant le maximum d'input pouvant être envoyés dans une requête HTTP POST à 1000. Ça ne posera surement pas de problème à la majorité des sites car 1000 input ça fait quand même pas mal, mais je pense que certains intranet notamment (dont celui sur lequel nous travaillons actuellement) vont être impactés, surtout ceux gérant de grosses masses de données.

Quoiqu'il en soit, il est heureusement possible de modifier ce paramètre dans le Web.config, en rajoutant cette ligne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 <appSettings>
    ...
    <add key="aspnet:MaxHttpCollectionKeys" value="100000"/>
  </appSettings>

Cette Maj nous a fait perdre 2h vendredi derniers car il était assez difficile de trouver cette information (en mettant le mot clé "MaxHttpCollectionKeys", nous avions 1 seul résultat Google, un exploit en soit

), heureusement nous sommes encore en phase de développement, je sent que certaines entreprises vont grincer les dents dans les jours qui viennent.

Si je comprends bien ce paramètre a été ajouté suite à la nouvelle découverte d'une faille de sécurité sur la plupart des langages de programmation utilisés sur le web qui exploitent les hash tables, le hashDos.

Plus d'infos sur https://cryptanalysis.eu/blog/2011/1...forms-hashdos/

PHP a corrigé cette faille en ajoutant la directive max_input_vars dans sa version 5.4. Un résumé sur les langages/technos atteints se trouve sur le site http://www.ocert.org/advisories/ocert-2011-003.html

ocram59290 · 03/01/2012, 17h50

Bonjour,

il y a un reboot pour cette mise à jour ?

Galactus13 · 04/01/2012, 15h37

Bonjour et bonne année !!!

Plus sérieusement, moi non plus, je lis beaucoup mais je poste rarement !

Juste pour dire que de toute façon, il y aura toujours des failles que les vilains pas beaux trouveront et utiliseront à leurs profit !
Pour ma part, j'ai toujours pensé qu'avant de faire une nouvelle version d'une plate forme, il valait mieux justement faire en sorte que cette plate forme soit 100% fiable et sans bug ! ce qui n'est pas le cas encore aujourd'hui !
m’en-fin, le bizness étant ce qu'il est !

sawyer20 · 01/02/2012, 21h48

Désolé de uppé !!

Mais nous avons un problème lorsque nous sommes en Debug avec cette clé dans VS 2010, où nous avons beaucoup d'objet à affiché sur certain page web, VS plante et notre ordinateur deviens excessivement lent.

Je voudrais savoir pourquoi cela se produit ?

J'ai mis la clé à 20000 et développons en asp.net.

Sergejack · 02/03/2012, 14h30

C'est abusé que Microsoft n'avertisse pas un minimum l'utilisateur XD

02/01/2012, 12h05	#1
Gordon Fowler Chroniqueur Actualités Inscription : juillet 2009 Messages : 2 730 Détails du profil Informations forums : Inscription : juillet 2009 Messages : 2 730 Points : 43 935 Points : 43 935	.NET : Microsoft publie un correctif de sécurité .NET : Microsoft publie un correctif A appliquer d’urgence La semaine dernière, quatre failles avaient été découvertes dans .NET. Pour trois d'entre elles, les détails ont été gardés confidentiels par Microsoft pour éviter des exploits zero-days. Aujourd’hui, l’éditeur publie un correctif sans attendre les cycles de mises à jour habituels. Un correctif qu’il conseille évidemment d’appliquer dans les plus brefs délais. Les vulnérabilités corrigées concernent toutes les plateformes (WX, Windows 7, Vista, Server 2003, 2008 et 2008 R2). Ces failles permettaient une « élévation des privilèges », autrement dit elles permettaient à un utilisateur d'obtenir des privilèges supérieurs pour devenir par exemple administrateur du système. Les sites en ASP.NET sont particulièrement concernés. La mise à jour du framework se fera automatiquement via Windows Update. Mais si celui-ci a été désactivé, Microsoft recommande de lancer manuellement Microsoft Update pour appliquer le patch. Source : Microsoft Security Bulletin
	10

03/01/2012, 17h50	#4
ocram59290 Nouveau Membre du Club Administrateur systèmes et réseaux Inscription : décembre 2011 Messages : 22 Détails du profil Informations personnelles : Sexe : Informations professionnelles : Activité : Administrateur systèmes et réseaux Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : décembre 2011 Messages : 22 Points : 25 Points : 25	Bonjour, il y a un reboot pour cette mise à jour ?
	00

04/01/2012, 15h37	#5
Galactus13 Yves Inscription : octobre 2009 Messages : 17 Détails du profil Informations personnelles : Nom : Yves Localisation : France, Seine Saint Denis (Île de France) Informations forums : Inscription : octobre 2009 Messages : 17 Points : -11 Points : -11	Bonjour et bonne année !!! Plus sérieusement, moi non plus, je lis beaucoup mais je poste rarement ! Juste pour dire que de toute façon, il y aura toujours des failles que les vilains pas beaux trouveront et utiliseront à leurs profit ! Pour ma part, j'ai toujours pensé qu'avant de faire une nouvelle version d'une plate forme, il valait mieux justement faire en sorte que cette plate forme soit 100% fiable et sans bug ! ce qui n'est pas le cas encore aujourd'hui ! m’en-fin, le bizness étant ce qu'il est !
	02

01/02/2012, 21h48	#6
sawyer20 Invité de passage Inscription : août 2006 Messages : 3 Détails du profil Informations forums : Inscription : août 2006 Messages : 3 Points : 1 Points : 1	Désolé de uppé !! Mais nous avons un problème lorsque nous sommes en Debug avec cette clé dans VS 2010, où nous avons beaucoup d'objet à affiché sur certain page web, VS plante et notre ordinateur deviens excessivement lent. Je voudrais savoir pourquoi cela se produit ? J'ai mis la clé à 20000 et développons en asp.net.
	00

02/03/2012, 14h30	#7
Sergejack Membre chevronné Inscription : juillet 2006 Messages : 1 194 Détails du profil Informations forums : Inscription : juillet 2006 Messages : 1 194 Points : 751 Points : 751	C'est abusé que Microsoft n'avertisse pas un minimum l'utilisateur XD
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email