IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Dotnet Discussion :

.NET : Microsoft publie un correctif de sécurité


Sujet :

Dotnet

  1. #1
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 798
    Points
    148 798
    Par défaut .NET : Microsoft publie un correctif de sécurité
    .NET : Microsoft publie un correctif
    A appliquer d’urgence



    La semaine dernière, quatre failles avaient été découvertes dans .NET. Pour trois d'entre elles, les détails ont été gardés confidentiels par Microsoft pour éviter des exploits zero-days.

    Aujourd’hui, l’éditeur publie un correctif sans attendre les cycles de mises à jour habituels. Un correctif qu’il conseille évidemment d’appliquer dans les plus brefs délais.

    Les vulnérabilités corrigées concernent toutes les plateformes (WX, Windows 7, Vista, Server 2003, 2008 et 2008 R2). Ces failles permettaient une « élévation des privilèges », autrement dit elles permettaient à un utilisateur d'obtenir des privilèges supérieurs pour devenir par exemple administrateur du système.

    Les sites en ASP.NET sont particulièrement concernés.

    La mise à jour du framework se fera automatiquement via Windows Update. Mais si celui-ci a été désactivé, Microsoft recommande de lancer manuellement Microsoft Update pour appliquer le patch.

    Source : Microsoft Security Bulletin

  2. #2
    Membre confirmé Avatar de CHbox
    Homme Profil pro
    Développeur .NET
    Inscrit en
    août 2011
    Messages
    107
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2011
    Messages : 107
    Points : 542
    Points
    542
    Par défaut
    Je vais profiter de cette news pour faire mon premier post sur ce site (que je fréquente depuis un moment maintenant, mais l'heure n'est pas aux compliments).

    Cette maj amène une petite surprise, Microsoft a rajouté un paramètre dans le Web.config (invisible), nommé "MaxHttpCollectionKeys", limitant le maximum d'input pouvant être envoyés dans une requête HTTP POST à 1000. Ça ne posera surement pas de problème à la majorité des sites car 1000 input ça fait quand même pas mal, mais je pense que certains intranet notamment (dont celui sur lequel nous travaillons actuellement) vont être impactés, surtout ceux gérant de grosses masses de données.

    Quoiqu'il en soit, il est heureusement possible de modifier ce paramètre dans le Web.config, en rajoutant cette ligne:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
     <appSettings>
        ...
        <add key="aspnet:MaxHttpCollectionKeys" value="100000"/>
      </appSettings>
    Cette Maj nous a fait perdre 2h vendredi derniers car il était assez difficile de trouver cette information (en mettant le mot clé "MaxHttpCollectionKeys", nous avions 1 seul résultat Google, un exploit en soit ), heureusement nous sommes encore en phase de développement, je sent que certaines entreprises vont grincer les dents dans les jours qui viennent.

  3. #3
    Expert confirmé
    Avatar de Thes32
    Homme Profil pro
    Développeur PHP, .Net, T-SQL
    Inscrit en
    décembre 2006
    Messages
    2 379
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur PHP, .Net, T-SQL

    Informations forums :
    Inscription : décembre 2006
    Messages : 2 379
    Points : 4 850
    Points
    4 850
    Par défaut
    Citation Envoyé par CHbox Voir le message
    Je vais profiter de cette news pour faire mon premier post sur ce site (que je fréquente depuis un moment maintenant, mais l'heure n'est pas aux compliments).

    Cette maj amène une petite surprise, Microsoft a rajouté un paramètre dans le Web.config (invisible), nommé "MaxHttpCollectionKeys", limitant le maximum d'input pouvant être envoyés dans une requête HTTP POST à 1000. Ça ne posera surement pas de problème à la majorité des sites car 1000 input ça fait quand même pas mal, mais je pense que certains intranet notamment (dont celui sur lequel nous travaillons actuellement) vont être impactés, surtout ceux gérant de grosses masses de données.

    Quoiqu'il en soit, il est heureusement possible de modifier ce paramètre dans le Web.config, en rajoutant cette ligne:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
     <appSettings>
        ...
        <add key="aspnet:MaxHttpCollectionKeys" value="100000"/>
      </appSettings>
    Cette Maj nous a fait perdre 2h vendredi derniers car il était assez difficile de trouver cette information (en mettant le mot clé "MaxHttpCollectionKeys", nous avions 1 seul résultat Google, un exploit en soit ), heureusement nous sommes encore en phase de développement, je sent que certaines entreprises vont grincer les dents dans les jours qui viennent.
    Si je comprends bien ce paramètre a été ajouté suite à la nouvelle découverte d'une faille de sécurité sur la plupart des langages de programmation utilisés sur le web qui exploitent les hash tables, le hashDos.

    Plus d'infos sur https://cryptanalysis.eu/blog/2011/1...forms-hashdos/

    PHP a corrigé cette faille en ajoutant la directive max_input_vars dans sa version 5.4. Un résumé sur les langages/technos atteints se trouve sur le site http://www.ocert.org/advisories/ocert-2011-003.html
    Développeur | Zend Certified Engineer

    Étapes Pour mieux se servir du forum:
    1. Commencez par lire les cours et tutoriels ;
    2. Faites une recherche;
    3. Faites un post si rien trouvé dans les deux étapes précédentes en respectant les règles;

    Nix>_Rien n'est plus pratique que la théorie

  4. #4
    Nouveau membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    décembre 2011
    Messages
    27
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : décembre 2011
    Messages : 27
    Points : 36
    Points
    36
    Par défaut
    Bonjour,

    il y a un reboot pour cette mise à jour ?

  5. #5
    Nouveau Candidat au Club
    Homme Profil pro
    Inscrit en
    octobre 2009
    Messages
    31
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations forums :
    Inscription : octobre 2009
    Messages : 31
    Points : 0
    Points
    0
    Par défaut
    Bonjour et bonne année !!!

    Plus sérieusement, moi non plus, je lis beaucoup mais je poste rarement !

    Juste pour dire que de toute façon, il y aura toujours des failles que les vilains pas beaux trouveront et utiliseront à leurs profit !
    Pour ma part, j'ai toujours pensé qu'avant de faire une nouvelle version d'une plate forme, il valait mieux justement faire en sorte que cette plate forme soit 100% fiable et sans bug ! ce qui n'est pas le cas encore aujourd'hui !
    m’en-fin, le bizness étant ce qu'il est !

  6. #6
    Candidat au Club
    Inscrit en
    août 2006
    Messages
    3
    Détails du profil
    Informations forums :
    Inscription : août 2006
    Messages : 3
    Points : 4
    Points
    4
    Par défaut
    Désolé de uppé !!

    Mais nous avons un problème lorsque nous sommes en Debug avec cette clé dans VS 2010, où nous avons beaucoup d'objet à affiché sur certain page web, VS plante et notre ordinateur deviens excessivement lent.


    Je voudrais savoir pourquoi cela se produit ?

    J'ai mis la clé à 20000 et développons en asp.net.

  7. #7
    Membre éprouvé

    Profil pro
    Inscrit en
    juillet 2006
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : juillet 2006
    Messages : 1 448
    Points : 1 203
    Points
    1 203
    Par défaut
    C'est abusé que Microsoft n'avertisse pas un minimum l'utilisateur XD
    Most Valued Pas mvp

Discussions similaires

  1. Oracle publie 40 correctifs de sécurité pour Java SE
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 1
    Dernier message: 27/06/2013, 08h43
  2. Adobe publie des correctifs de sécurité pour Adobe Reader et Acrobat
    Par Hinault Romaric dans le forum Actualités
    Réponses: 3
    Dernier message: 11/01/2012, 11h48
  3. Réponses: 13
    Dernier message: 29/09/2010, 10h59
  4. Réponses: 1
    Dernier message: 29/07/2009, 18h38
  5. Réponses: 7
    Dernier message: 07/07/2009, 11h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo