posts - 644, comments - 2003, trackbacks - 137

My Links

News

Raffaele Rialdi website

Su questo sito si trovano i miei articoli, esempi, snippet, tools, etc.

Archives

Post Categories

Image Galleries

Blogs

Links

Asp.net canonicalization bug: non fidatevi ciecamente della fix

È capitato, e quindi è un precedente a cui stare molto attenti. La patch si installa solo se trova asp.net installato... e fin qui sembra una cosa corretta.

Il problema è che asp.net può funzionare anche se apparentemente non è installato.... come? Asp.net è 'ufficialmente' installato quando è impostata la chiave di registry:
HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\v1.1.4322\Install = 1

Quindi accade che asp.net ci sia, funzioni, il comando “aspnet_regiis -lv” dice che tutto è ok, ma la chiave di registry dice che asp.net non c'è.

Quando capita questa strana cosa (a dire il vero è una cosa rara anche se non saprei dire quanto) il machine.config non viene patchato e quindi si resta vulnerabili.
Il rimedio è presto fatto: controllare che in tutti i machine.config delle versioni di framework installate sul pc, al tag <httpModules ... /> ci sia questa riga:
<add name="ValidatePathModule" type="Microsoft.Web.ValidatePathModule, Microsoft.Web.ValidatePathModule, Version=1.0.0.0, Culture=neutral, PublicKeyToken=eba19824f86fdadd"/>

Print | posted on Tuesday, October 12, 2004 3:30 PM | Filed Under [ ASP.NET [Italiano] ]

Feedback

Gravatar

# re: Asp.net canonicalization bug: non fidatevi ciecamente della fix

quidi rimane la soluzione proposta da roberto brunetti la più corretta
http://blogs.devleap.com/rob/archive/2004/10/02/1803.aspx
10/12/2004 5:21 PM | Fabio Civerchia
Gravatar

# re: Asp.net canonicalization bug: non fidatevi ciecamente della fix

Fabio, in realtà non cambia nulla.
Se guardi il codice della patch di asp.net non sono altro che tre righe di codice che lanciano una file not found exception.
Il problema può stare solo nella mancata installazione, non nella qualità della patch.
10/12/2004 7:00 PM | Raffaele Rialdi

Post Comment

Title  
Name  
Email
Url
Comment   
Please add 7 and 5 and type the answer here:

Powered by:
Powered By Subtext Powered By ASP.NET