22 Eylül 2010 Çarşamba

DotNetNuke 5.5.1 Sürümü Yayınlandı

Dün yazdığım yazıda ASP.NET'de geçtiğimiz hafta ortaya çıkan son derece tehlikeli güvenlik açığından bahsetmiş ve durumun Oracle Padding ile ilişkili olduğundan söz etmiştim. ASP.NET tabanlı olan DotNetNuke'de bu büyük tehlikeden etkilenen yazılımlardan biriydi ve söz konusu güvenlik açığı Microsoft tarafından kapatılana kadar geçici olarak bir önlem alınması gerekiyordu.

DotNetNuke ekibi olarak olması gerektiği gibi önce geçici çözümü DotNetNuke bloglarında paylaştık. Bugün itibariyle de yeni sürümü DotNetNuke Türkiye Kullanıcı Topluluğu sayfasından duyuruyoruz.

DotNetNuke'nin 5.5.1 Sürümünde Dikkat Çeken Özelliklerden Bazıları

  • Sitenin tavsiye edilen özel hata modunda çalışıp çalışmadığını denetleyecek sistem
  • web.config dosyası düzenlenerek ASP.NET güvenlik açığına önlem
  • Sitemap bileşeni düzenlenerek çoklu dil desteği etkinleştirildiğinde yalnızca tek sayfanın geri getirilmesi
  • Telerik Dosya Yöneticisi veritabanı senkronizasyonu
  • Özel aspx sayfaları kullanan modül programcılarının aldığı hataların düzeltilmesi
  • Yeni kurulumlarda içerik yerelleştirmenin varsayılan olarak pasif yapılması
  • Sayfa hiyerarşik yapısındaki bazı hataların giderilmesi
DotNetNuke 5.5.1'in en dikkat çekici özelliği elbette ASP.NET güvenlik açığını kapatması. Ancak, kullandığımız sistem her ne olursa olsun, elbette bir şekilde yeni güvenlik açıkları ortaya çıkabiliyor. Bu tür güvenlik açıkları ile mücadelede kullandığımız yazılımın resmi sitesini takip etmek, güvenlik bültenlerini incelemek ve önerilen çözümleri geçici olsalar bile uygulamak gerekiyor.

DotNetNuke 5.5.1 sürümünü kullanarak portallarında güncelleştirme yapmak isteyen arkadaşların öncelikle yedekleme (backup) yapmalarını öneriyorum.

Sorularınızı yorum bölümünden iletebilirsiniz.


21 Eylül 2010 Salı

ASP.NET Oracle Padding Saldırısı DotNetNuke'de Güvenlik Açığı Oluşturuyor

Geçtiğimiz hafta Arjantin'de düzenlenen bir konferansta iki araştırmacı ASP.NET çekirdeğinde tespit ettikleri kritik güvenlik açığını ve oluşabilecek etkileri Microsoft'un önlem almasına izin vermeden katılımcılarla paylaştı.

ASP.NET'de ortaya çıkan söz konusu güvenlik açığı Oracle Padding yönteminin uygulanması ile websitelerindeki gizli bilgilerin, kullanıcı verilerinin ele geçirilmesini sağlıyor ve saldırgana siteye birinci dereceden erişim olanağı tanıyor.

Bu açık, şu ana kadar ortaya çıkan açıklar arasında en tehlikeli açıklardan biri olarak dikkat çekiyor ve Microsoft alarma geçmiş durumda.

Eğer ASP.NET tabanlı websiteleriniz varsa kullandığınız sürüme göre önlem almanız gerekiyor.

CustomErrors modu ile ilgili olarak web.config dosyanızda bazı değişiklikler yaparak ve özel bir hata sayfası oluşturarak açığa karşı geçici bir önlem alabilirsiniz.

Detaylar için DotNetNuke bloglarında yer alan ASP.NET Security Vulnerability başlıklı yazıyı okumanızı ve adımları mutlaka uygulamanızı öneririm.