Telerik Web UI：加密漏洞能否缓解？

Telerik Web UI组件主要用于为浏览器和桌面或移动设备构建Web Forms应用。

Telerik.Web.UI.dll的加密漏洞存在于R2 2017 SP1之前的Progress Telerik UI for ASP.NET AJAX 以及10.0.6412.0版本前的Sitefinity中。 Telerik.Web.UI.dll没有正确保护Telerik.Web.UI.DialogParametersEncryptionKey或MachineKey中的加密密钥。

（图片来源于网络）

由于访问该加密密钥不需要身份验证，这使得远程攻击者在执行文件上传和下载时更容易绕过它 ，因为跨站点脚本攻击者会泄露Machine Key或者破坏ASP.NET View State。软件供应商如果使用Telerik Web组件进行文档处理、SharePoint Web部件或整合，则易受攻击。

Telerik建议在Telerik提供正式版MSI安装包之前，用户应手动安装、部署和配置SharePoint 2016之前的SharePoint 2013 Telerik Web部件。该SharePoint 2013文档可作为参考来创建自己的Web部件。这两个版本都使用Microsoft .NET Framework提供的配置管理设置，在用于部署Web部件的80多个ASP空间中有4个可提供免费演示。

（图片来源于网络）

然而， 这里的问题是Windows 10不能与SharePoint 2013兼容，因为它并不总是会向后兼容早期版本的Windows 。同样，手动安装也不能确保加密漏洞不会发生。其他来源的Web部件替代选项可能也可能不会更好，这主要取决于以下六个因素：