Supongo que muchos ya lo sabréis, pero lo incluyo aquí por si alguien todavía no se ha enterado . La semana pasada se descubrió una vulnerabilididad de canonicalización de nombres en ASP.NET. El problema (según se explica en http://www.microsoft.com/security/incident/aspnet.mspx) se deriva en que, usando las URLs adecuadas, entre otras cosas, se puede saltar la seguridad de formularios de ASP.NET sin utilizar las credenciales adecuadas.

Microsoft ha publicado un módulo HTTP (HTTPModule) que se puede instalar en cualquier servidor Web ASP.NET para evitar esta situación. Este módulo instala la dll correspondiente y modifica el archivo machine.config para que se ejecute siempre y se protejan así todas las aplicaciones ASP.NET que se tengan configuradas en el servidor.

Si administras un servidor con ASP.NET es casi imprescindible que lo instales. Se puede descargar en: Microsoft ASP.NET ValidatePath Module.

Esta no es la única manera de protejerse contra este problema, pero si es la más fácil y rápida de aplicar.