Forum
Microsoft tarafından önemli bir güvenlik açığı duyruldu.Bu açıkdan yararlanmayı başarabilen korsanlar, web.config gibi dosyalara ulaşılabiliyor.
Bu konu ile ilgili yama çıkanadek açığı kapatmanızın yöntemi adım adım şöyledir;
1-%CommonProgramFiles%\Microsoft Shared\Web Server Extensions\14\template\layouts dizinine gidin.
2-error2.aspx isimli bir dosya oluşturun ve içine aşağıdaki kodu koyup kaydedin;
<%@ Page Language="C#" AutoEventWireup="true" %> <%@ Import Namespace="System.Security.Cryptography" %> <%@ Import Namespace="System.Threading" %> <script runat="server"> void Page_Load() { byte[] delay = new byte[1]; RandomNumberGenerator prng = new RNGCryptoServiceProvider(); prng.GetBytes(delay); Thread.Sleep((int)delay[0]); IDisposable disposable = prng as IDisposable; if (disposable != null) { disposable.Dispose(); } } </script> <html> <head runat="server"> <title>Error</title> </head> <body> <div> An error occurred while processing your request. </div> </body> </html>
3- %SystemDrive%\inetpub\wwwroot\wss\virtualdirectories dizinine gidin ve web application larınızın her birinde yer alan web.config dosyasında
customErrors mode="On satırını <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="/_layouts/error2.aspx" /> olarak değiştirin
ve kaydedin.
4-IIS i noforce ile resetleyin. iisreset /noforce .
Teşekkürler bilgilendirme için.
Süpersin Serkan
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Yukarıdaki işlemlere ek olarak yeni adımlar eklendi Lütfen bu değişikliği de yapınız.
1- %ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\14\isapi e gidin burada web.config dosyasını bulun öncelikle bu dosyanın bir kopyasını mutlaka bir başka yere alın.
2- web.config dosyasını notepad ile açın.<configuration> dan sonra <system.web> den önce aşağıdaki kodu ekleyip kaydedin.
<system.webServer> <handlers> <remove name="AssemblyResourceLoader-Integrated-4.0" /> <remove name="AssemblyResourceLoader-Integrated" /> </handlers> </system.webServer>
3- IIS restart edin.
Unutmadan ekleyiyeyim.Açıkdan Sharepoint 2007 WSS 3.0 ve daha önceki versiyon WSS 2.0 da etkileniyor.Bunların çözümü için buradaki bilgilendirmeyi kullanabilirsiniz.