ASP.NETに存在する未解決の脆弱性が見つかっていて、web.configが読みとれたりする脆弱性だそうです。

Webサービスの開発や運用に使われる米Microsoftの「ASP.NET」に存在する未解決の脆弱性に関する情報が公表された。Microsoftは9月17日付でアドバイザリーを公開し、当面の対策などを紹介している。

Microsoftによれば、この脆弱性は.NET Frameworkの全バージョンに存在する。攻撃者が問題を悪用した場合、標的とするサーバによって暗号化された「View State」などの情報を参照したり、標的とするサーバ上にある設定ファイル「web.config」などの情報を読み取ったりすることが可能になり、コンテンツが改ざんされる恐れもあるという。

17日の時点でMicrosoftは、この脆弱性を悪用しようとする攻撃が発生したとの情報は入っていないとしている。

Microsoftの「ASP.NET」に情報流出の脆弱性 - ITmedia エンタープライズ

回避策も出ていますので設定をしておいた方がよさそうですね。

ASP.NET の情報漏えいの脆弱性が一般に公開されたことを受け、本日（2010/9/18）、セキュリティ アドバイザリ 2416728 を公開しました。報告された脆弱性の影響を受ける .NET Framework のバージョンはサポートされる OS 上のすべてのバージョンです。この問題の影響度としては、サーバー上の暗号化されたデーターや web.config などの情報が読み取られる可能性があります。サーバー上でコードが実行されたり、特権の昇格が発生することはありません。

ASP.NET の脆弱性を調査中 – セキュリティ アドバイザリ 2416728 を公開 – 日本のセキュリティチーム

関連URL

• マイクロソフト セキュリティ アドバイザリ (2416728): ASP.NET の脆弱性により、情報漏えいが起こる
• US-CERT Current Activity
• Microsoft Security Advisory (2416728): Vulnerability in ASP.NET Could Allow Information Disclosure
• Important: ASP.NET Security Vulnerability - ScottGu's Blog
• Microsoft Security Advisory for ASP.NET
• Additional Information about the ASP.NET Vulnerability - Security Research & Defense - Site Home - TechNet Blogs
• ASP.NETにデータ漏えいのセキュリティホールが存在--マイクロソフトが認める - CNET Japan
• Microsoftの「ASP.NET」に情報流出の脆弱性 - ITmedia エンタープライズ
• Frequently Asked Questions about the ASP.NET Security Vulnerability - ScottGu's Blog
• ASP.NETの脆弱性で情報漏えいの恐れ、MSがセキュリティアドバイザリ公開 -INTERNET Watch
• マイクロソフト、「ASP.NET」の重大な脆弱性を警告――すべてのWindowsに影響 : セキュリティ・マネジメント - Computerworld.jp