Vulnerability in ASP.NET Could Allow Information Disclosure

В ASP.NET 2.0 обнаружена уязвимость позволяющая злоумышленнику получить файлы из папки app_data сайта путем прямого ввода их имени. Получить можно только файлы с нестандартным расширениями, которые не защищены стандартными настройками ASP.NET.

Уязвимость не может быть использована для исполнения произвольного кода или повышения своих привилегий.

Более подробную информацию и ссылку на обновление можно найти в Microsoft Security Bulletin MS06-033. Vulnerability in ASP.NET Could Allow Information Disclosure (917283) и в заметке Two IIS patches this month - what's the risk?.

Vulnerability in ASP.NET 2.0 Could Allow Information Disclosure

В ASP.NET 2.0 обнаружена уязвимость позволяющая выполнить XSS атаку (cross site scripting). Это касается серверных элементов управления использующих свойство AutoPostBack=true. По умолчанию данное свойство имеет значение false. Для успеха атаки требуется взаимодействие с пользователем.

Подробности и обновление можно найти в Microsoft Security Bulletin MS06-056. Vulnerability in ASP.NET 2.0 Could Allow Information Disclosure (922770).

ASP.NET Null Byte Termination Vulnerability

Обнаружена уязвимость в ASP.NET, которая может позволить злоумышленнику обойти систему безопасности и получить доступ к любой странице сайта.

Обновление и подробности доступны на странице Microsoft Security Bulletin MS07-040 - Critical. Vulnerabilities in .NET Framework Could Allow Remote Code Execution (931212).