martedì 21 settembre 2010

Vulnerabilità di SharePoint 2010

Il team di SharePoint sul proprio blog ha annunciato una vulnerabilità del framework .NET che impatta anche su SharePoint e consiglia di adottare subito il workaraound descritto nell'articolo stesso.
In sostanza bisogna seguire i seguenti passi:
  1. Posizionarsi nella cartella %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\14\template\layouts. 
  2. Creare un nuovo file chiamato error2.aspx nella cartella contenente il seguente codice:


    <%@ Page Language="C#" AutoEventWireup="true" %>
    <%@ Import Namespace="System.Security.Cryptography" %>
    <%@ Import Namespace="System.Threading" %>
    
    <script runat="server">
       void Page_Load() {
          byte[] delay = new byte[1];
          RandomNumberGenerator prng = new RNGCryptoServiceProvider();
    
          prng.GetBytes(delay);
          Thread.Sleep((int)delay[0]);
            
          IDisposable disposable = prng as IDisposable;
          if (disposable != null) { disposable.Dispose(); }
        }
    </script>
    
    
    <html>
    <head runat="server">
        <title>Error</title>
    </head>
    <body>
        <div>
            An error occurred while processing your request.
        </div>
    </body>
    </html> 
    
    
  3. Posizionarsi nella cartella %SystemDrive%\inetpub\wwwroot\wss\virtualdirectories
  4. Per ogni sottocartella fare i seguenti passi:



    1. Edit web.config
    2. Trovare il nodo "customErrors" e cambiarlo come segue


      <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="/_layouts/error2.aspx" />
      
    3. Salvare le modifiche
    4. Eseguire iisreset /noforce