asp.net padding oracle 代码泄露 CVE-2010-3332 CNNVD-201009-226
5.0
AV
AC
AU
C
I
A
发布:
2010-09-22
修订:
2018-10-12
MS10-070 ASP.NET Padding Oracle信息泄露漏洞 1.漏洞描述。 ASP.NET由于加密填充验证过程中处理错误不当,导致存在一个信息泄漏漏洞。成功利用此漏洞的攻击者可以读取服务器加密的数据,例如视图状态。 此漏洞还可以用于数据篡改,如果成功利用,可用于解密和篡改服务器加密的数据。 虽然攻击者无法利用此漏洞来执行恶意攻击代码或直接提升他们的用户权限,但此漏洞可用于信息搜集,这些信息可用于进一步攻击受影响的系统。 也就是说虽然不能直接getshell,但是理论上可以读取任意文件,包括数据库配置文件。 2.漏洞标识符: CVE: CVE-2010-3332 3.受影响系统 Microsoft .NET Framework 4.0 Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 3.5 Microsoft .NET Framework 2.0 SP2 Microsoft .NET Framework 1.0 SP3 4.漏洞解决办法: 4.1 临时解决办法: * 启用ASP.NET自定义错误并将所有的错误代码都映射到相同的出错页面。 * 创建包含有通用出错消息的error.html文件并保存到根目录。 * 4.2 微软补丁: 微软已经为此发布了一个安全公告(MS10-070)以及相应补丁: http://www.microsoft.com/technet ... 10-070.mspx?pf=true
漏洞利用/PoC
当前有5条漏洞利用/PoC
受影响的平台与产品
当前有9条受影响产品信息
