Microsoft cubre un agujero de seguridad en Windows Azure
Microsoft ha actualizado el kit de desarrollo de software para Windows Azure con el fin de cubrir un agujero de seguridad que dejaba expuesta la información de cookie a los clientes que habían creado aplicaciones sobre la plataforma cloud.
El problema de seguridad afecta a los sitios y servicios web que utilizan cookies para mantener la información del estado de un determinado usuario entre sesiones de navegador, y permitía a los clientes de Microsoft que corren sitios web sobre Windows Azure ver los contenidos de la información de las cookies generadas por los usuarios del sitio web.
Si el proceso funcionaba adecuadamente, la protección criptográfica de las cookies aseguraban que “los clientes podían ver que se estaba transfiriendo información de estado, pero no los contenidos ni cambiarlos”, según Microsoft. No obstante, el agujero de seguridad dejaba expuesta la información.
“Esta vulnerabilidad afecta a las aplicaciones desarrolladas utilizando ASP.NET y la nueva funcionalidad “Full IIS” de SDK v1.3 que tienen un Web Role desplegado”, ha explicado la compañía. “En el caso de los Web Roles (Estados Web) vulnerables, era posible que los clientes determinaran los contenidos de la información de estado (aunque aún así el cliente, no podían cambiarlos). Si el sitio dependía de que el cliente no fuera capaz de ver los contenidos, su seguridad podía quedar comprometida”.
Los usuarios de Azure afectados deben descargar el SDK actualizado, volver a desplegar sus aplicaciones y verificar que el parche está funcionando. Las instrucciones para hacerlo pueden encontrarse en el blog de Windows Azure.
Si el proceso funcionaba adecuadamente, la protección criptográfica de las cookies aseguraban que “los clientes podían ver que se estaba transfiriendo información de estado, pero no los contenidos ni cambiarlos”, según Microsoft. No obstante, el agujero de seguridad dejaba expuesta la información.
“Esta vulnerabilidad afecta a las aplicaciones desarrolladas utilizando ASP.NET y la nueva funcionalidad “Full IIS” de SDK v1.3 que tienen un Web Role desplegado”, ha explicado la compañía. “En el caso de los Web Roles (Estados Web) vulnerables, era posible que los clientes determinaran los contenidos de la información de estado (aunque aún así el cliente, no podían cambiarlos). Si el sitio dependía de que el cliente no fuera capaz de ver los contenidos, su seguridad podía quedar comprometida”.
Los usuarios de Azure afectados deben descargar el SDK actualizado, volver a desplegar sus aplicaciones y verificar que el parche está funcionando. Las instrucciones para hacerlo pueden encontrarse en el blog de Windows Azure.
