Microsoft hat gestern einen Security Fix für das Windows Azure SDK v1.3 veröffentlicht. Jedem, der diese – aktuelle (!) – Version des SDKs verwendet, wird empfohlen, das Upgrade zu installieren. Das Upgrade behebt einen Fehler, der bei Cloud Anwendungen, die mit SDK v1.3 entwickelt wurden, auftreten kann.

Wer ist betroffen?

Betroffen sind all jene Entwickler, die ASP.NET-Anwendungen entwickelt haben, die zum einen das “Full IIS” Feature in Web Roles nutzen und zum anderen den Session-Zustandsinformationen in Client-Cookies speichern. Diese Cookies werden verschlüsselt, so dass es auf Clients weder möglich sein soll, auf die Cookie-Inhalte zuzugreifen, noch die Cookie-Inhalte zu verändern.

Ohne den Security Fix kann es möglich sein, dass die Cookie-Inhalte gelesen werden (wenngleich sie nicht verändert werden können!). Für Anwendungen, deren Sicherheitskonzept auch darauf baut, dass für den Client-Anwender die Inhalte nicht sichtbar sind, wird deshalb empfohlen, den Security Fix zu installieren, die betreffenden Anwendungen neu zu paketieren und zu deployen.

Wie kann der Fix eingespielt werden?

Folgende Schritte sind zum Einspielen erforderlich:

  1. Download und Installation des Upgrades des November 2010 Tools and SDK (empfohlen).
  2. Um nur das SDK zu aktualisieren, können folgende Links verwendet werden:
    Link für das 64bit-SDK bzw. Link für das 32bit-SDK
     

Wie kann die korrekte Installation überprüft werden?

Unter Windows kann in der Systemsteuerung unter dem Punkt “Programme und Funktionen” die installierte Version des SDKs eingesehen werden.

Die SDK-Versionsnummer sollte wie folgt lauten: 1.3.20121.1237

Weitere Informationen finden sich auf dem offiziellen Announcement-Blog.