Telerik Web UI:加密漏洞能否緩解?

責(zé)任編輯:editor005

作者:Judith Myerson

2017-10-31 14:09:56

摘自:TechTarget中國

Telerik建議在Telerik提供正式版MSI安裝包之前,用戶應(yīng)手動(dòng)安裝、部署和配置SharePoint 2016之前的SharePoint 2013 Telerik Web部件

我最近看到報(bào)道稱Telerik Web UI包含加密漏洞,這個(gè)漏洞是什么?企業(yè)是否應(yīng)該考慮其他解決方案,還是這個(gè)漏洞可得到緩解?

Judith Myerson:Telerik Web UI組件主要用于為瀏覽器和桌面或移動(dòng)設(shè)備構(gòu)建Web Forms應(yīng)用。

Telerik.Web.UI.dll的加密漏洞存在于R2 2017 SP1之前的Progress Telerik UI for ASP.NET AJAX 以及10.0.6412.0版本前的Sitefinity中。Telerik.Web.UI.dll沒有正確保護(hù)Telerik.Web.UI.DialogParametersEncryptionKey或MachineKey中的加密密鑰。

由于訪問該加密密鑰不需要身份驗(yàn)證,這使得遠(yuǎn)程攻擊者在執(zhí)行文件上傳和下載時(shí)更容易繞過它,因?yàn)榭缯军c(diǎn)腳本攻擊者會(huì)泄露Machine Key或者破壞ASP.NET View State。軟件供應(yīng)商如果使用Telerik Web組件進(jìn)行文檔處理、SharePoint Web部件或整合,則易受攻擊。

Telerik建議在Telerik提供正式版MSI安裝包之前,用戶應(yīng)手動(dòng)安裝、部署和配置SharePoint 2016之前的SharePoint 2013 Telerik Web部件。該SharePoint 2013文檔可作為參考來創(chuàng)建自己的Web部件。這兩個(gè)版本都使用Microsoft .NET Framework提供的配置管理設(shè)置,在用于部署Web部件的80多個(gè)ASP空間中有4個(gè)可提供免費(fèi)演示。

然而,這里的問題是Windows 10不能與SharePoint 2013兼容,因?yàn)樗⒉豢偸菚?huì)向后兼容早期版本的Windows。同樣,手動(dòng)安裝也不能確保加密漏洞不會(huì)發(fā)生。其他來源的Web部件替代選項(xiàng)可能也可能不會(huì)更好,這主要取決于以下六個(gè)因素:

1. 部署Web部件使用的控件的兼容性;

2. 控件定價(jià)政策,免費(fèi)或付費(fèi);

3. 用戶編程技能,新手還是專家;

4. 部署加密密鑰;

5. 用戶對(duì)Web Parts模式的訪問,受限制到正?;蛘邿o限制到Edit、Design和Catalog;

6. 控件補(bǔ)丁歷史:太多或太少。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)