Windows Azure SDK-Security Fix für SDK v1.3 verfügbar

Windows Azure Kunden wurden vor dem Wochenende vom Windows Azure Team per Email informiert, dass die Windows Azure SDKs aktualisiert wurden. Es handelt sich um einen Security Fix für das SDK v1.3. Alle, die diese aktuelle (!) Version verwenden, wird empfohlen das Upgrade zu installieren.

Wer ist betroffen?

Betroffen sind all jene Entwickler, die ASP.NET-Anwendungen entwickelt haben, die zum einen das “Full IIS” Feature in Web Roles nutzen und zum anderen den Session-Zustandsinformationen in Client-Cookies speichern. Diese Cookies werden verschlüsselt, so dass es auf Clients weder möglich sein soll, auf die Cookie-Inhalte zuzugreifen, noch die Cookie-Inhalte zu verändern.

Ohne den Security Fix kann es möglich sein, dass die Cookie-Inhalte gelesen werden (wenngleich sie nicht verändert werden können!). Für Anwendungen, deren Sicherheitskonzept auch darauf baut, dass für den Client-Anwender die Inhalte nicht sichtbar sind, wird deshalb empfohlen, den Security Fix zu installieren, die betreffenden Anwendungen neu zu paketieren und zu deployen.

Wie kann der Fix eingespielt werden?

Folgende Schritte sind zum Einspielen erforderlich:

1. Download und Installation des Upgrades des November 2010 Tools and SDK (empfohlen).
2. Um nur das SDK zu aktualisieren, können folgende Links verwendet werden:
   Link für das 64bit-SDK bzw. Link für das 32bit-SDK

Wie kann die korrekte Installation überprüft werden?

Unter Windows kann in der Systemsteuerung unter dem Punkt “Programme und Funktionen” die installierte Version des SDKs eingesehen werden.

Die SDK-Versionsnummer sollte wie folgt lauten: 1.3.20121.1237

Weitere Informationen finden sich auf dem offiziellen Announcement-Blog.

(via Holger Sirtl)