我最近看到报道称Telerik Web UI包含加密漏洞，这个漏洞是什么?企业是否应该考虑其他解决方案，还是这个漏洞可得到缓解?

　　Judith Myerson：Telerik Web UI组件主要用于为浏览器和桌面或移动设备构建Web Forms应用。

　　Telerik.Web.UI.dll的加密漏洞存在于R2 2017 SP1之前的Progress Telerik UI for ASP.NET AJAX 以及10.0.6412.0版本前的Sitefinity中。Telerik.Web.UI.dll没有正确保护Telerik.Web.UI.DialogParametersEncryptionKey或MachineKey中的加密密钥。

　　由于访问该加密密钥不需要身份验证，这使得远程攻击者在执行文件上传和下载时更容易绕过它，因为跨站点脚本攻击者会泄露Machine Key或者破坏ASP.NET View State。软件供应商如果使用Telerik Web组件进行文档处理、SharePoint Web部件或整合，则易受攻击。

　　Telerik建议在Telerik提供正式版MSI安装包之前，用户应手动安装、部署和配置SharePoint 2016之前的SharePoint 2013 Telerik Web部件。该SharePoint 2013文档可作为参考来创建自己的Web部件。这两个版本都使用Microsoft .NET Framework提供的配置管理设置，在用于部署Web部件的80多个ASP空间中有4个可提供免费演示。

　　然而，这里的问题是Windows 10不能与SharePoint 2013兼容，因为它并不总是会向后兼容早期版本的Windows。同样，手动安装也不能确保加密漏洞不会发生。其他来源的Web部件替代选项可能也可能不会更好，这主要取决于以下六个因素：

　　1. 部署Web部件使用的控件的兼容性;

　　2. 控件定价政策，免费或付费;

　　3. 用户编程技能，新手还是专家;

　　4. 部署加密密钥;

　　5. 用户对Web Parts模式的访问，受限制到正常或者无限制到Edit、Design和Catalog;

　　6. 控件补丁历史：太多或太少。

　　责任编辑：DJ编辑