Microsoft Security Bulletin MS06-056 - Mírný

Chyba zabezpečení v technologii ASP.NET 2.0 může umožnit přístup k informacím (922770)

Publikováno: 10. října 2006 | Aktualizováno: 29. listopadu 2006

Verze: 1.3

Shrnutí

Komu je tento dokument určen: Zákazníkům, kteří používají rozhraní Microsoft Windows .NET Framework 2.0

Dopad této chyby zabezpečení: Přístup k informacím

Stupeň maximální závažnosti: Mírný

Doporučení: Zákazníci by měli uvažovat o instalaci této aktualizace zabezpečení

Nahrazené aktualizace zabezpečení: Žádný

Upozornění: Článek 922770 znalostní báze Microsoft Knowledge Base popisuje aktuálně známé problémy, s nimiž se mohou zákazníci setkat v případě instalace této aktualizace zabezpečení. V článku jsou také uvedena doporučená řešení těchto problémů. Další informace získáte v článku 922770 znalostní báze Microsoft Knowledge Base.

Testovaný software a umístění pro stahování aktualizace zabezpečení:

Software obsahující tuto chybu:

Rozhraní .NET Framework 2.0 pro následující verze operačních systémů: Stáhnout aktualizaci

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 nebo Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP Media Center Edition
Microsoft Windows Server 2003 a Microsoft Windows Server 2003 Service Pack 1
Systém Windows Server 2003 Service Pack 1 pro systémy s procesorem Itanium
Microsoft Windows Server 2003 x64 Edition

Software neobsahující tuto chybu:

Microsoft Windows Server 2003 pro systémy s procesorem Itanium

Testované součásti systému Microsoft Windows:

Součásti obsahující tuto chybu:

Microsoft .NET Framework 2.0

Součásti, které tuto chybu neobsahují:

Microsoft .NET Framework 1.0
Microsoft .NET Framework 1.1

Uvedený software byl testován, zda neobsahuje tuto chybu. Pro ostatní verze buď již nejsou poskytovány opravy zabezpečení, nebo tuto chybu neobsahují. Pokud chcete zjistit dobu, po kterou je pro určitý produkt a verzi poskytována technická podpora, navštivte web Zásady poskytování technické podpory pro produkty společnosti Microsoft.

Poznámka: Aktualizace zabezpečení systémů Microsoft Windows Server 2003, Windows Server 2003 Service Pack 1 a Windows Server 2003 x64 Edition se týkají také systému Windows Server 2003 R2.

Obecné informace

Shrnutí

Identifikátory chyb zabezpečení	Dopad této chyby zabezpečení	.NET Framework 2.0
Chyba zabezpečení rozhraní .NET Framework 2.0 typu skriptování mezi servery - CVE-2006-3436	Přístup k informacím	Mírný

Nejčastější dotazy související s touto aktualizací zabezpečení

Proč je systém Microsoft Windows Server 2003 pro systémy s procesorem Itanium uveden v části Software neobsahující tuto chybu?
Rozhraní Microsoft .NET Framework 2.0 se v systému Microsoft Windows Server 2003 pro systémy s procesorem Itanium neinstaluje.

Proč se rozhraní Microsoft .NET Framework 2.0 neinstaluje v systému Microsoft Windows Server 2003 pro systémy s procesorem Itanium?
Služba Windows Installer 3.1 není v systému Microsoft Windows Server 2003 pro systémy s procesorem Itanium podporována. Služba Windows Installer 3.1 je podporována pouze v systému Windows Server 2003 Service Pack 1 pro systémy s procesorem Itanium.

Jaké jsou známé problémy, s nimiž se mohou zákazníci setkat v případě instalace této aktualizace zabezpečení?

Článek 922770 znalostní báze Microsoft Knowledge Base popisuje aktuálně známé problémy, s nimiž se mohou zákazníci setkat v případě instalace této aktualizace zabezpečení. V článku jsou také uvedena doporučená řešení těchto problémů. Další informace získáte v článku 922770 znalostní báze Microsoft Knowledge Base.

Článek 923100 znalostní báze Microsoft Knowledge Base: Nemůžete nainstalovat aktualizaci zabezpečení popsanou v bulletinu zabezpečení MS06-056 nebo se vrací kód chyby 0x643.
Článek 923101 znalostní báze Microsoft Knowledge Base: Chybová zpráva při pokusu o instalaci aktualizace zabezpečení 917283 do počítače se systémem Windows Server 2003. „Chyba 1324. Složka Program Files obsahuje neplatný znak“
Článek 929110 znalostní báze Microsoft Knowledge Base : Systém souborů rozlišující velká a malá písmena se stane systémem nerozlišujícím velká a malá písmena, pokud nainstalujete aktualizaci rozhraní .NET Framework 2.0 (929110)

Prodloužená fáze podpory ve formě aktualizací zabezpečení operačních systémů Microsoft Windows NT Workstation 4.0 Service Pack 6a a Windows 2000 Service Pack 2 skončila 30. června 2004. Prodloužená fáze podpory ve formě aktualizací zabezpečení operačního systému Microsoft Windows NT Server 4.0 Service Pack 6a skončila 31. prosince 2004. Prodloužená fáze podpory ve formě aktualizací zabezpečení operačního systému Microsoft Windows 2000 Service Pack 3 skončila 30. června 2005. Používám jeden z uvedených operačních systémů, jak mám postupovat?
Pro systémy Windows NT Workstation 4.0 Service Pack 6a, Windows NT Server 4.0 Service Pack 6a a Windows 2000 Service Pack 2 a Windows 2000 Service Pack 3 skončila časově omezená podpora. Zákazníkům používajícím tyto verze operačního systému doporučujeme migrovat na podporované verze, aby jejich počítače nebyly ohroženy možnými chybami zabezpečení. Další informace o časově omezené podpoře produktů Windows získáte na webu Zásady poskytování technické podpory pro produkty společnosti Microsoft. Další informace o prodloužené fázi podpory ve formě aktualizací zabezpečení pro tyto verze operačního systému získáte na následujícím webu služby technické podpory pro produkty společnosti Microsoft.

Zákazníci, kteří požadují technickou podporu pro tyto produkty, se musí obrátit na svého zástupce společnosti Microsoft, technického manažera (TAM) nebo na příslušného prodejce produktů společnosti Microsoft s požadavkem na vlastní možnosti technické podpory. Zákazníci bez smlouvy typu Alliance, Premier či Authorized se mohou obrátit na místní zastoupení společnosti Microsoft. Chcete-li získat kontaktní informace, přejděte na web Microsoft Worldwide a vyberte požadovanou zemi. Seznam telefonních čísel pak zobrazíte klepnutím na tlačítko Go (Přejít). Po zavolání na příslušné číslo si vyžádejte místního manažera pro program Premier Support. Další informace získáte na webu Technická podpora pro operační systém Windows - nejčastější dotazy.

Je možné určit pomocí nástroje MBSA (Microsoft Baseline Security Analyzer), zda je tato aktualizace nezbytná?

Následující tabulka uvádí shrnutí týkající se zjišťování pomocí nástroje MBSA pro tuto aktualizaci zabezpečení.

Produkt	MBSA 1.2.1	Nástroj pro vyhledávání aktualizací v rozlehlých sítích (Enterprise Update Scan Tool - EST)	MBSA 2.0
.NET Framework 2.0	Ne	Ano	Ano

Další informace o nástroji MBSA získáte na webu nástroje MBSA. Další informace o programech, které web Microsoft Update a nástroj MBSA 2.0 v současné době nerozpoznává, získáte v článku 895660 znalostní báze Microsoft Knowledge Base.

Další informace získáte v článku 910723 znalostní báze Microsoft Knowledge Base.

Co je nástroj pro vyhledávání aktualizací v rozlehlých sítích (Enterprise Update Scan Tool - EST)?
V rámci svého stálého závazku poskytovat nástroje pro zjišťování aktualizací zabezpečení třídy bulletinů poskytuje společnost Microsoft samostatný nástroj pro vyhledávání v případě, že nástroje MBSA (Microsoft Baseline Security Analyzer a ODT (Office Detection Tool) nemohou zjistit, zda je aktualizace v cyklu vydávání MSRC vyžadována. Tento samostatný nástroj se nazývá nástroj pro vyhledávání aktualizací v rozlehlých sítích (Enterprise Update Scan Tool - EST) a je určen pro správce rozlehlých sítí. Když je pro konkrétní bulletin vytvořena verze nástroje pro vyhledávání aktualizací v rozlehlých sítích, zákazníci mohou spouštět nástroj z rozhraní příkazového řádku (CLI) a výsledky zobrazovat pomocí výstupního souboru XML. K nástroji bude dodána podrobná dokumentace, která zákazníkům umožní nástroj lépe používat. K dispozici je také verze tohoto nástroje nabízející integrované možnosti správy správcům serverů SMS.

Mohu pomocí některé z verzí Nástroje pro vyhledávání aktualizací v rozlehlých sítích určit, zda je tato aktualizace nezbytná?
Ano. Společnost Microsoft vytvořila verzi Nástroje pro vyhledávání aktualizací v rozlehlých sítích, která určí, zda je nutné instalovat tuto aktualizaci. Odkazy na stažení a informace o verzi Nástroje pro vyhledávání aktualizací v rozlehlých sítích (Enterprise Update Scanning Tool - EST), která byla vydána tento měsíc, najdete v článku 894193 znalostní báze Microsoft Knowledge Base. Zákazníci serveru SMS by si měli přečíst další informace o serveru SMS a nástroji EST v části Nejčastější dotazy tohoto bulletinu v odpovědi na dotaz „Je možné určit pomocí serveru Systems Management Server (SMS), zda je tato aktualizace nezbytná?“.

Je možné určit pomocí serveru Systems Management Server (SMS), zda je tato aktualizace nezbytná?
Následující tabulka uvádí shrnutí týkající se zjišťování pomocí serveru SMS pro tuto aktualizaci zabezpečení.

Produkt	SMS 2.0	SMS 2003
.NET Framework 2.0	Ano (s nástrojem EST)	Ano

Server SMS využívá k rozpoznávání nástroj MBSA. Proto se na server SMS vztahují omezení uvedená v předchozí části tohoto bulletinu týkající se programů, které není možné rozpoznat pomocí nástroje MBSA.

U serveru SMS 2.0 lze sadu SMS SUS Feature Pack obsahující nástroj SUIT (Security Update Inventory Tool) používat serverem SMS ke zjištění aktualizací zabezpečení. Sada SMS SUIT využívá k zjišťování modul MBSA 1.2.1. Další informace o nástroji Security Update Inventory Tool naleznete na následujícím webu společnosti Microsoft. Další informace o omezeních nástroje Security Update Inventory Tool získáte v článku 306460 znalostní báze Microsoft Knowledge Base. Sada SMS SUS Feature Pack obsahuje také nástroj Microsoft Office Inventory Tool umožňující rozpoznávání aplikací sady Microsoft Office.

U serveru SMS 2003 lze nástroj SMS 2003 Inventory Tool for Microsoft Updates používat serverem SMS ke zjištění aktualizací zabezpečení nabízených webem Microsoft Update a podporovaných službou Windows Server Update Services. Další informace o nástroji SMS 2003 Inventory Tool for Microsoft Updates získáte na následujícím webu společnosti Microsoft. Server SMS 2003 může zjišťovat požadované aktualizace aplikací sady Microsoft Office také pomocí nástroje Microsoft Office Inventory Tool.

Další informace o nástroji SMS získáte na webu nástroje SMS.

Další informace získáte v článku 910723 znalostní báze Microsoft Knowledge Base.

Podrobné informace o chybě zabezpečení

Informace o této aktualizaci zabezpečení

Podporované instalační přepínače pro aktualizaci zabezpečení
Přepínač	Popis
/help	Zobrazí parametry příkazového řádku.
Režimy instalace
/q[n\|b\|r\|f]	Nastaví úroveň uživatelského rozhraní. n - Není nutný zásah uživatele b - Základní interakce uživatele r - Redukovaná interakce uživatele f - Úplná interakce uživatele (výchozí)
Možnosti instalace
/extract [directory]	Extrahuje balíček do zadaného adresáře.
Možnosti restartování
/norestart	Nerestartuje počítač po dokončení instalace.
/forcerestart	Po instalaci restartuje počítač a při vypnutí počítače vynutí ukončení ostatních aplikací bez uložení otevřených souborů.
/promptrestart	Zobrazí dialogové okno s výzvou k povolení restartování.
Možnosti protokolování
*/l[i\|w\|e\|a\|r\|u\|c\|m\|o\|p\|v\|x\|+\|!\|] <soubor_protokolu>**	i - Stavové zprávy w - Méně závažná upozornění e - Všechny chybové zprávy a - Spuštění akcí r - Záznamy specifické pro akce u - Požadavky uživatelů c - Počáteční parametry UI m - Informace o nedostatku paměti nebo závažné informace o ukončení o - Zprávy o nedostatku místa na disku p - Vlastnosti terminálu v - Podrobný výstup x - Zvláštní informace o ladění + - Dodatek ke stávajícímu souboru protokolu ! - Vyrovnání každé řádky v protokolu * - Zaprotokolování všech informací kromě možností v a x
/log <soubor_protokolu>	Ekvivalent /l* <soubor_protokolu>

Název souboru	Verze	Datum	Čas	Velikost
aspnet_wp.exe	2.0.50727.210	13. září 2006	0:10	23 040
webengine.dll	2.0.50727.210	13. září 2006	0:10	300 032
System.web.dll	2.0.50727.210	13. září 2006	0:11	5 029 888

Název souboru	Verze	Datum	Čas	Velikost
aspnet_wp.exe	2.0.50727.210	12. září 2006	4:18	73 728
aspnet_wp.exe	2.0.50727.210	13. září 2006	0:10	23 040
webengine.dll	2.0.50727.210	12. září 2006	4:18	868 864
webengine.dll	2.0.50727.210	13. září 2006	0:10	300 032
System.web.dll	2.0.50727.210	12. září 2006	8:24	4 599 808
System.web.dll	2.0.50727.210	13. září 2006	0:11	5 029 888

Název souboru	Verze	Datum	Čas	Velikost
aspnet_wp.exe	2.0.50727.210	12. září 2006	4:11	34 816
aspnet_wp.exe	2.0.50727.210	13. září 2006	0:10	23 040
webengine.dll	2.0.50727.210	12. září 2006	4:11	540 672
webengine.dll	2.0.50727.210	13. září 2006	0:10	300 032
System.web.dll	2.0.50727.210	12. září 2006	7:32	4 964 352
System.web.dll	2.0.50727.210	13. září 2006	0:11	5 029 888

Další informace

Poděkování

Společnost Microsoft tímto děkuje za spolupráci při ochraně zákazníků:

Jaswinderu Hayreovi ze společnosti Ernst & Young's Advanced Security Center za oznámení chyby zabezpečení rozhraní .NET Framework 2.0 typu přesměrování skriptování mezi servery - CVE-2006-3436.

Získání dalších aktualizací zabezpečení:

Aktualizace odstraňující další problémy se zabezpečením získáte v následujících umístěních:

Aktualizace zabezpečení jsou k dispozici na webu služby Stažení softwaru (Microsoft Download Center). Nejsnadněji je naleznete hledáním podle klíčového slova oprava_zabezpečení (security_patch).
Aktualizace pro klientské platformy jsou k dispozici na webu Microsoft Update.

Technická podpora:

Zákazníci mohou získat technickou podporu na webu služby technické podpory společnosti Microsoft. Hovory související s aktualizacemi zabezpečení jsou bezplatné.
Mezinárodní zákazníci získají podporu u místních zastoupení společnosti Microsoft. Technická podpora související s aktualizacemi zabezpečení je bezplatná. Další informace o možnostech kontaktování společnosti Microsoft v případě potřeby mezinárodní technické podpory naleznete na webu mezinárodní technické podpory.

Zdroje informací o zabezpečení:

Další informace o zabezpečení produktů společnosti Microsoft nabízí web Microsoft TechNet Security.
TechNet Update Management Center
Služba Microsoft Software Update Services
Služba Microsoft Windows Server Update Services
Nástroj MBSA (Microsoft Baseline Security Analyzer)
Windows Update
Microsoft Update
Katalog systému Windows Update: Další informace o katalogu systému Windows Update získáte v článku 323166 znalostní báze Microsoft Knowledge Base.
Office Update

Služba Software Update Services:

Pomocí služby Microsoft Software Update Services (SUS) mohou správci systémů rychle a spolehlivě instalovat nejnovější důležité aktualizace zabezpečení pro servery se systémem Windows 2000 a Windows Server 2003 i pro stolní počítače se systémem Windows 2000 Professional nebo Windows XP Professional.

Další informace o způsobu nasazení aktualizací zabezpečení pomocí služby SUS získáte na webu služby Software Update Services.

Služba Windows Server Update Services:

Pomocí služby Windows Server Update Services (WSUS) mohou správci systémů rychle a spolehlivě instalovat nejnovější důležité aktualizace zabezpečení pro systémy Windows 2000 a vyšší, sadu Office XP a vyšší, Exchange Server 2003 a SQL Server 2000 do systémů Windows 2000 a novějších.

Další informace o způsobu nasazení aktualizací zabezpečení pomocí služby Windows Server Update Services získáte na webu služby Windows Server Update Services.

Systems Management Server:

Microsoft Systems Management Server (SMS) představuje v rozlehlých sítích řešení pro správu aktualizací s rozsáhlými možnostmi konfigurace. Umožňuje správcům identifikovat počítače se systémem Windows, které vyžadují aktualizace zabezpečení, a provést řízenou instalaci těchto aktualizací v celé rozlehlé síti, a to s minimálním dopadem na koncové uživatele. Další informace o tom, jak mohou správci pomocí serveru SMS 2003 instalovat aktualizace zabezpečení, získáte na webu SMS 2003 Security Patch Management. Uživatelé serveru SMS 2.0 mohou při instalaci aktualizací zabezpečení použít také sadu Software Updates Service Feature Pack. Další informace o serveru SMS získáte na webu serveru SMS.

Poznámka: Server SMS využívá nástroj MBSA (Microsoft Baseline Security Analyzer), nástroj pro rozpoznávání sady Microsoft Office a nástroj pro vyhledávání aktualizací v rozlehlých sítích (Enterprise Update Scan Tool - EST), a poskytuje tak podporu pro zjišťování a instalaci aktualizací uvedených v bulletinech zabezpečení. Tyto nástroje nemusí některé softwarové aktualizace zjistit. V takovém případě mohou správci použít funkce serveru SMS a nasměrovat aktualizace do určitých systémů. Další informace o tomto postupu najdete na následujícím webu. Některé aktualizace zabezpečení vyžadují po restartování počítače oprávnění správce. Správci mohou k instalaci těchto aktualizací použít nástroj Elevated Rights Deployment Tool (k dispozici v sadě SMS 2003 Administration Feature Pack a SMS 2.0 Administration Feature Pack).

Zřeknutí se záruky:

Informace ve znalostní bázi Microsoft Knowledge Base jsou poskytovány tak, jak jsou, bez jakékoli záruky. Společnost Microsoft neposkytuje žádné záruky, výslovně uvedené či mlčky předpokládané, včetně záruk obchodovatelnosti a vhodnosti pro určitý účel. Společnost Microsoft ani její dodavatelé nenesou v žádném případě zodpovědnost za žádné škody, včetně přímých, nepřímých, náhodných či následných škod, ztráty zisku či zvláštních škod, a to ani v případě, že byli na možnost takových škod upozorněni. V některých zemích a právních řádech není dovoleno vyloučit nebo omezit odpovědnost, proto se výše uvedené omezení na vás nemusí vztahovat.

Revize:

V1.0 (10. října 2006): Bulletin byl publikován.
V1.1 (11. října 2006): Bulletin byl aktualizován v částech Upozornění a Jaké jsou známé problémy, s nimiž se mohou zákazníci setkat v případě instalace této aktualizace zabezpečení? v oddíle Nejčastější dotazy týkající se této aktualizace zabezpečení.
V1.2 (25. října 2006): Bulletin byl aktualizován z důvodu zařazení systému Microsoft Windows Server 2003 pro systémy s procesorem Itanium mezi Software neobsahující tuto chybu. Do části Nejčastější dotazy týkající se této aktualizace zabezpečení byly přidány dotazy „Proč je systém Microsoft Windows Server 2003 pro systémy s procesorem Itanium uveden v části Software neobsahující tuto chybu?“ a „Proč se rozhraní Microsoft .NET Framework 2.0 neinstaluje v systému Microsoft Windows Server 2003 pro systémy s procesorem Itanium?“.
V1.3 (29. listopadu 2006): Bulletin byl aktualizován v částech Upozornění a Jaké jsou známé problémy, s nimiž se mohou zákazníci setkat v případě instalace této aktualizace zabezpečení? v oddíle Nejčastější dotazy týkající se této aktualizace zabezpečení.

Microsoft Security Bulletin MS06-056 - Mírný

Chyba zabezpečení v technologii ASP.NET 2.0 může umožnit přístup k informacím (922770)

Shrnutí

Obecné informace

Shrnutí

Nejčastější dotazy související s touto aktualizací zabezpečení

Podrobné informace o chybě zabezpečení

Chyba zabezpečení rozhraní .NET Framework 2.0 typu skriptování mezi servery - CVE-2006-3436:

Skutečnosti snižující závažnost rizika chyby zabezpečení rozhraní .NET Framework 2.0 typu skriptování mezi servery - CVE-2006-3436:

Možná zástupná řešení chyby zabezpečení rozhraní .NET Framework 2.0 typu skriptování mezi servery - CVE-2006-3436:

Nejčastější dotazy týkající se chyby zabezpečení rozhraní .NET Framework 2.0 typu skriptování mezi servery - CVE-2006-3436:

Informace o této aktualizaci zabezpečení

Microsoft .NET Framework verze 2.0

Další informace