Si eres usuario registrado de DotNetNuke seguramente habrás recibido un email informativo sobre una Vulnerabilidad Crítica en ASP.NET.

Dicha nota informativa hace referencia a una vulnerabilidad encontrada y en ASP.NET y publicada el pasado Viernes 17 de Septiembre por dos investigadores de seguridad (Thai Duong y Juliano Rizzo).

Explicaron que podían desarrollar un ataque mediante dicha vulnerabilidad. Desde entonces el equipo de seguridad de DotNetNuke se puso a investigar dicha notificación estimando posibles métodos sin embargo sin poder decidir qué cambios efectuar.

Finalmente se decidió esperar y los investigadores presentaron su ataque en la más popular y explotada plataforma web, DotNetNuke, en una conferencia en Buenos Aires, Argentina. Inmediatamente tanto los ingenieros de Microsoft Corp. como el equipo de seguridad de DotNetNuke Corp. determinaron el mejor antídoto.

Microsoft ha informado a los usuarios de ASP.NET mediante el siguiente comunicado:

http://www.microsoft.com/technet/security/advisory/2416728.mspx

También el Vice Presidente Corporativo de Microsoft Corp., Scott Guthrie, publicó en su Blog dicha vulnerabilidad:

http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx

En cuanto a DotNetNuke, se publicó la recomendación a todos sus clientes y usuarios de aplicar una solución provisional hasta la publicación de DNN 5.5.1 (se espera esta misma semana) mediante el siguiente documento:

http://info.dotnetnuke.com/rs/dotnetnuke/images/DotNetNuke_Security_Update_Regarding_ASPNET_Vulnerability_091810.pdf

Recomiendo efectuar dicha revisión!