Aggiornamento Critico di Sicurezza - Settembre 2017

Aggiornamento Critico di Sicurezza - Settembre 2017

Telerik ha recentemente annunciato tre problemi di sicurezza - CVE-2017-11317, CVE-2017-11357 e CVE-2014-2217 in Telerik.Web.UI.Dll. DNN Corp ha immediatamente rilasciato una patch specifica per la piattaforma così come ulteriori dettagli in merito alla problematica riscontrata. Il blog è scritto in formato FAQ per facilitare la lettura.

Dove posso trovare maggiori informazioni sui problemi di sicurezza di Telerik?

  1. CVE-2017-11317 https://www.cvedetails.com/cve/CVE-2017-11357/
    http://www.telerik.com/support/kb/aspnet-ajax/upload-%28async%29/details/unrestricted-file-upload
  2. CVE-2017-11357 https://www.cvedetails.com/cve/CVE-2017-11317/
    http://www.telerik.com/support/kb/aspnet-ajax/upload-%28async%29/details/insecure-direct-object-reference
  3. CVE-2014-2217 https://www.cvedetails.com/cve/CVE-2014-2217/

È possibile reperire ulteriori dettagli su questo problema?

DNN non dispone di ulteriori dettagli al di là di ciò che è pubblicamente disponibile nei link di cui sopra.

Come posso proteggermi da questo problema?

DNN Corp sta rilasciando una fix di sicurezza per risolvere questo problema. La correzione rapida non è altro che una semplice estensione DNN e può essere installata come qualsiasi altro modulo di DNN. Inoltre, è decisamente consigliato scaricare l'ultimo Security Analyzer.
Ecco i link per i DOWNLOAD.

Qualche suggerimento sulle istruzioni di installazione?

Sì. La patch è più grande di 12 MB. La piattaforma, durante il processo di installazione, potrebbe non consentire l'upload di file di grandi dimensioni. È necessario caricare manualmente l'estensione nella cartella SitoWeb\Install\Module e utilizzare le opzioni "Estensioni disponibili" in Host > Estensioni per installarlo. Puoi anche seguire le istruzioni riportate di seguito per aumentare il limite della dimensione di upload.

Inoltre, potresti imbatterti nell'errore di installazione “file in uso” riferito al file Telerik.Web.UI.Dll. Per evitare ciò è meglio riavviare il pool di applicazioni prima di procedere con l'installazione.

telerik dll in uso

Devo aggiungere la patch (modulo) in una pagina dopo aver eseguito l'installazione?

No. Tutto ciò che devi fare è solamente installare. Non sono necessarie ulteriori passaggi. Puoi verificare che sia effettivamente stato installato guardando l'area Estensioni:

DNN Security HotFix 2017.1

Che cosa fa esattamente la patch?

Aggiorna Telerik.Web.UI.Dll e Telerik.Web.UI.Skins.dll nella cartella bin del sito. Inoltre inserisce DNNSecurityHotFix20171.dll sempre nella cartella Bin.

Come posso essere sicuro che la patch sia effettivamente stata installata?

Andare nella cartella Bin utilizzando Windows Explorer, fare clic con il pulsante destro del mouse e verificare il numero di file e il numero di versione del file Telerik.Web.UI.Dll.

.Net 4.0 e superiori - la dimensione del file dovrebbe essere 19.092.992 byte e la versione dovrebbe essere 2013.2.717.40

.Net 3.5 - la dimensione del file dovrebbe essere 19,039,744 byte e la versione dovrebbe essere 2013.2.717.35

L'immagine qui sotto è per .Net 4.0 e versioni successive:

Dimensione e Versione Dll Telerik fix DNN

Questa patch di sicurezza è correlata a quella rilasciata nel giugno 2017?

È stata implementata proprio sulla fix di Giugno 2017.

Ho già la fix di Giugno 2017, ho bisogno di questa?

Sì. Devi applicare anche questa patch. Quella di Giugno 2017 aveva un numero di versione di 1.0.1, il nuovo è 1.2.0.

Non ho applicato la correzione di sicurezza di Giugno 2017, dovrei prima applicarla e in seguito installare la nuova?

No. La nuova patch contiene anche le correzioni di sicurezza di Giugno 2017.

Ho già applicato le ultime correzioni di sicurezza da Telerik? Devo installare anche questa?

È una tua scelta. La DLL di Telerik non contiene la personalizzazione specifica per DNN. In quanto tale. È possibile che si possano presentare problemi di compatibilità.

Quale versione di Telerik DLL ho? È più vecchia rispetto alla più recente di Telerik?

Al momento della scrittura di questo blog, l'ultima versione della DLL di Telerik è: 2017.2.711. La versione DNN di tali DLL è: 2013.2.717. Come potete vedere la versione di DNN è 4 anni indietro.

Qual è la visione a lungo termine di tali DLL in DNN?

Abbiamo intenzione di rimuovere completamente l'uso di Telerik nelle future versioni di DNN. Se i tuoi moduli dipendono da Telerik, allora devi pianificare l'utilizzo di diverse tecnologie.

Quali versioni di DNN sono interessate da questa vulnerabilità?

Secondo la documentazione fornita da Telerik, le vulnerabilità esistevano fin dalla versione 2011.1.315 alla 2017.2.621. DNN ha iniziato ad utilizzare Telerik alla versione 2011.1.519.35 da DNN 5.6.3. Poiché non è possibile sapere molto di più sulle vulnerabilità in quanto tali, DNN ritiene che questa vulnerabilità riguardi tutte le versioni da DNN 5.6.3 in poi.

Non sto usando Telerik, posso saltare questa correzione?

Solo le nuovissime versioni di Evoq non contengono Telerik, in questo caso si può evitare questa correzione. Tuttavia, è meglio controllare la cartella Bin per verificare se sia presente il file Telerik.Web.UI.Dll. Qualora dovesse essere lì allora dovrai sicuramente applicare questa correzione.

Uso il CK Editor, devo applicare questa correzione?

Sì. Dato che hai Telerik.Web.UI.Dll nella cartella Bin, devi applicarlo.

Quali versioni di DNN sono supportate da questa correzione?

La versione 4.0 di .Net della correzione può essere applicata sulle versioni DNN/Evoq 7.1.2 e versioni successive. È possibile installarle anche su versioni precedenti di DNN / Evoq, ma è possibile che si verifichino problemi di compatibilità. DNN consiglia sempre di aggiornare DNN alle nuove versioni per rimanere protetti da altri problemi di sicurezza noti. Visita il Security Center per scoprire altre vulnerabilità note.

La versione .Net 3.5 può essere applicata sulle versioni pre 7.0.0. Tuttavia, potrebbero verificarsi problemi di compatibilità. È meglio aggiornare DNN/Evoq ad una versione più recente: almeno 7.1.2 o superiore.

La correzione del giugno 2017 ha avuto alcuni effetti collaterali, se sono stati risolti?

La fix di Giugno 2017 ha avuto un effetto che ha limitato il caricamento di file da Rad Editor. L'aggiunta di nuove estensioni di file ha spesso provocato l'errore "Non è possibile deserializzare i parametri di dialogo. Aggiornare la pagina dell'editor".

DeserializeError

Puoi caricare altre estensioni di file anche seguendo i seguenti passaggi. Nell'esempio si sta cercando di aggiungere MP4 come nuova estensione nel sistema.

  1. Includi la nuova estensione in Estensioni File Consentite in Impostazioni Host > Impostazioni Host > Altre Impostazioni nella versioni precedenti la 9.0. In caso contrario andare nella Persona Bar alla voce Impostazioni > Sicurezza > Altro > Altre impostazioni di protezione in 9.0 o superiori.
    Estensioni Consentite DNN

  2. Includi la nuova estensione nelle impostazioni del Document Manager in Host > Gestione Editor Html > DotNetNuke.RadEditorProvider > Everyone nelle versioni precedenti alla 9.0, o Persona Bar > Impostazioni > Impostazioni sito > Comportamento sito > Altro > Html Editor Manager Impostazioni Gestione Documenti

  3. Aggiungere una voce nel web.config. Le ulteriori estensioni possono essere aggiunte in un elenco separato da virgola. Ad esempio. mp4, mov.
    Bisogna stare attenti alle impostazioni mime, fornendo estensioni arbitrarie di file come .xyz o .abc. Potrai ancora caricarli, ma non potrai scaricarli tramite browser. Le estensioni di file note conosciute non dovrebbero avere problemi nel download tramite browser. Webconfig telerik

Qualcuno può caricare un file dannoso, ad esempio .aspx o .asp utilizzando questa impostazione?

No.

DNN sta rilasciando qualcos'altro insieme a questa correzione?

Sì, DNN ha fatto una piccola modifica al Security Analyzer per avvisarti qualora avessi applicato la versione giusta della DLL di Telerik. Ha anche alcuni ulteriori piccoli aggiornamenti. È necessario scaricare la versione più recente del Security Analyzer (8.1.3 nel momento della scrittura di questo blog).

Il Security Analyzer all'interno della Persona Bar mostra ancora che Telerik non è stato corretto?

A partire da DNN 9.0, DNN ha reso il Security Analyzer parte integrante della Persona Bar. Questo è diverso dal Security Analyzer menzionato sopra. Il Security Analyzer all'interno di Persona Bar continuerà a indicare che non è stato corretto il problema. Sarà risolto nel prossimo rilascio di DNN/Evoq. Ecco cosa vedrai ancora nella Persona Bar:

Security Analyzer Persona Bar DNN Check Telerik

Cosa dovrei vedere nel Security Analyzer stand alone?

Se è stato fatto tutto nella maniera corretta, dovresti vedere la seguente schermata con il messaggio: "Telerik Component already patched.".

Security Analyzer Telerik check

Leggi l’articolo originale sul blog di DNN Corp.



Marco SuvigoDNN Gold Partner
LinkedIn: Marco Suvigo
^