Czy deserializacja XML-a w .NET jest niebezpieczna? Microsoft załatał podatność w Sharepoint dającą dostęp na serwer(y)

22 marca 2019, 16:07 | W biegu | 0 komentarzy
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Deserializacja danych od użytkownika prawie zawsze kończy się tragicznie (czy to Java, czy PHP czy Python) – czyli można w nieautoryzowany sposób wykonać dowolny kod w systemie operacyjnym. Podobnie jest w .NET przy czym warto pamiętać że deserializacja może być realizowana na ‚zwykłych’ XML-ach czy JSON-ach.

Microsoft załatał tego typu podatność w Sharepoincie (wykorzystanie deserializacji z XML) w lutym 2019, ale coś poszło nie tak i potrzebny był kolejny patch, wydany 12 marca. Załatane produkty to:

  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Foundation 2013 Service Pack 1
  • Microsoft SharePoint Server 2010 Service Pack 2
  • Microsoft SharePoint Server 2019

więc jak widać, podatność prawdopodobnie istniała w Sharepoincie dłuuuugo.

Czy wykorzystanie luki wymaga posiadania konta w Sharepoint, według tej informacji – niePrivileges Required (PR): None.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz