Jak pewnie wiecie, ostatnio w ASP.NET została odkryta poważna dziura umożiwiająca ściąganie plików z serwera, na którym stoi aplikacja. Dziura dotyczy wszystkich wersji ASP.NET. Więcej o dziurze tutaj: http://www.microsoft.com/technet/security/advisory/2416728.mspx.
Oczywiście wszystkie wersje CRM’a w jakiś sposób wykorzystują ASP.NET i niestety są podatne na tę dziurę. Nawet CRM 2011! Microsoft dziś wypuści(ł) bardzo ważny hotfix do CRM. Poprawka jest tutaj: http://support.microsoft.com/default.aspx?kbid=2421203. Absolutnie warto ją zainstalować jak najszybciej!!! Szczególnie jak macie CRM wystawionego przez IFD na zewnątrz…

UWAGA: Hotfix bezpieczeństwa ASP.NET dla Dynamics CRM 4.0 wymaga Update Rollup 13!

Tymczasowe obejście:
Jeśli nie macie Update Rollup 13, albo musicie czekać na politykę aktualizacji w swojej firmie, zastosujcie tymczasową poprawkę poprzez edycję pliku web.config CRM’a. Trzeba tam dodać ustawienie „Custom errors” i wymusić pokazywanie zawsze jednej i tej samej strony błędów, a nie pozwalać serwerowi generować i pokazywać realnego błędu. Można to zrobic tak:

1. Stwórzcie prostą stronkę o tytule np. error2.aspx (dla zmyłki), może być pusta.
2. Edytujcie web.config jak poniżej:

<configuration>       

    <system.web>

       <customErrors mode="On" defaultRedirect="~/error2.aspx" />

    </system.web>       

 </configuration>

Reklama