Sicherheitsbulletin
Microsoft Security Bulletin MS10-070 - Wichtig
Sicherheitsanfälligkeit in ASP.NET könnte die Offenlegung von Informationen zulassen (2418042)
Veröffentlicht: 28. September 2010 | Aktualisiert: 26. Oktober 2011
Version: 4.2
Allgemeine Informationen
Kurzfassung
Dieses Sicherheitsupdate behebt eine öffentlich offengelegte Sicherheitsanfälligkeit in ASP.NET. Die Sicherheitsanfälligkeit könnte die Offenlegung von Informationen ermöglichen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, konnte Daten lesen, z. B. den Ansichtszustand, der vom Server verschlüsselt wurde. Diese Sicherheitsanfälligkeit kann auch für Datenmanipulation verwendet werden, die, falls erfolgreich ausgenutzt, zum Entschlüsseln und Manipulieren der vom Server verschlüsselten Daten verwendet werden kann. Microsoft .NET Framework-Versionen vor Microsoft .NET Framework 3.5 Service Pack 1 sind von der Offenlegung von Dateiinhalten dieser Sicherheitsanfälligkeit nicht betroffen.
Dieses Sicherheitsupdate ist für alle unterstützten Editionen von ASP.NET mit Ausnahme von Microsoft .NET Framework 1.0 Service Pack 3 wichtig. Weitere Informationen finden Sie im Unterabschnitt, betroffene und nicht betroffene Software in diesem Abschnitt.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem alle Daten, die durch ASP.NET verschlüsselt werden, zusätzlich signiert werden. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Unterabschnitt häufig gestellte Fragen (FAQ) für den spezifischen Sicherheitsrisikoeintrag im nächsten Abschnitt, Sicherheitsrisikoinformationen.
Dieses Sicherheitsupdate behebt auch die sicherheitsanfälligkeit, die zuerst in der Microsoft Security Advisory 2416728 beschrieben wurde.
Empfehlung Microsoft empfiehlt Kunden, das Update frühestens anzuwenden.
Siehe auch den Abschnitt " Erkennungs- und Bereitstellungstools und Anleitungen" weiter unten in diesem Bulletin.
Bekannte Probleme.Der Microsoft Knowledge Base-Artikel 2418042 dokumentiert die derzeit bekannten Probleme, die Kunden bei der Installation dieses Sicherheitsupdates feststellen können. Der Artikel dokumentiert auch empfohlene Lösungen für diese Probleme.
Betroffene und nicht betroffene Software
Die folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen oder Editionen liegen entweder über ihren Supportlebenszyklus oder sind nicht betroffen. Um den Supportlebenszyklus für Ihre Softwareversion oder -edition zu ermitteln, besuchen Sie Microsoft-Support Lifecycle.
Betroffene Software
*Server Core-Installation betroffen. Dieses Update gilt mit der gleichen Schweregradbewertung für unterstützte Editionen von Windows Server 2008 R2, wie angegeben, unabhängig davon, ob die Server Core-Installationsoption installiert wurde. Weitere Informationen zu dieser Installationsoption finden Sie in den TechNet-Artikeln zum Verwalten einer Server Core-Installation und Wartung einer Server Core-Installation. Beachten Sie, dass die Server Core-Installationsoption nicht für bestimmte Editionen von Windows Server 2008 und Windows Server 2008 R2 gilt; siehe Vergleich der Server Core-Installationsoptionen.
**Server Core-Installation ist nicht betroffen. Die von diesem Update behobenen Sicherheitsrisiken wirken sich nicht auf unterstützte Editionen von Windows Server 2008 aus, wie angegeben, wenn sie mit der Server Core-Installationsoption installiert wurden. Weitere Informationen zu dieser Installationsoption finden Sie in den TechNet-Artikeln zum Verwalten einer Server Core-Installation und Wartung einer Server Core-Installation. Beachten Sie, dass die Server Core-Installationsoption nicht für bestimmte Editionen von Windows Server 2008 und Windows Server 2008 R2 gilt; siehe Vergleich der Server Core-Installationsoptionen.
[1]. NET Framework 4.0-Clientprofil ist nicht betroffen. Die .NET Framework Version 4 redistributable packages are available in two profiles: .NET Framework 4.0 and .NET Framework 4.0 Client Profile. Das .NET Framework 4.0-Clientprofil ist eine Teilmenge von .NET Framework 4.0. Die in diesem Update behobene Sicherheitsanfälligkeit betrifft nur .NET Framework 4.0 und nicht das .NET Framework 4.0-Clientprofil. Weitere Informationen finden Sie unter: Installieren von .NET Framework.
Nicht betroffene Software
| Betriebssystem | Komponente |
|---|---|
| Microsoft .NET Framework 1.0 Service Pack 3 | |
| Windows XP Service Pack 3 | Microsoft .NET Framework 1.0 Service Pack 3 (nur Windows XP Media Center Edition 2005 und Windows XP Tablet PC Edition 2005) |
| Microsoft .NET Framework 3.5.1 | |
| Windows 7 für 32-Bit-Systeme Service Pack 1 | Microsoft .NET Framework 3.5.1 |
| Windows 7 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 3.5.1 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 3.5.1 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Häufig gestellte Fragen (FAQ) zu diesem Sicherheitsupdate
Warum wurde dieses Bulletin am 22. Februar 2011 überarbeitet?
Microsoft hat dieses Sicherheitsbulletin überarbeitet, um eine Erkennungsänderung ankündigen zu können, um microsoft .NET Framework 4.0 (KB2416472) Updatepakete für Systeme mit Windows 7 für 32-Bit-Systeme Service Pack 1, Windows 7 für x64-basierte Systeme Service Pack 1, Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 und Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 anzubieten. Diese Erkennungsänderung gilt nur für Kunden, die Microsoft .NET Framework 4.0 nach der Installation von Windows 7 für 32-Bit Systems Service Pack 1, Windows 7 für x64-basierte Systeme Service Pack 1, Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 oder Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 installieren. Kunden, die ihre Systeme bereits erfolgreich aktualisiert haben, müssen keine Maßnahmen ergreifen.
Warum wurde dieses Bulletin am 14. Dezember 2010 überarbeitet?
Microsoft hat dieses Sicherheitsbulletin überarbeitet, um ankündigen zu können, dass neue Updatepakete für Microsoft .NET Framework 4.0 (KB2416472) verfügbar sind. Diese neuen Pakete beheben ein Problem im Setup, das die erfolgreiche Installation anderer Updates beeinträchtigen könnte. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2473228 für Kunden, die möglicherweise über eine Installation eines anderen Produkts oder Updates verfügen, die möglicherweise von diesem Problem betroffen sind. Kunden, die ihre Systeme bereits erfolgreich aktualisiert haben, müssen keine Maßnahmen ergreifen.
Ich habe .NET Framework 3.0 Service Pack 2 installiert; diese Version ist in diesem Bulletin nicht unter der betroffenen Software aufgeführt. Muss ich ein Update installieren?
In diesem Bulletin wird eine Sicherheitsanfälligkeit in .NET Framework 2.0 und den .NET Framework 3.5-Featureebenen beschrieben. Das .NET Framework 3.0 Service Pack 2-Installationsprogrammkette im .NET Framework 2.0 Service Pack 2-Setup, sodass die Installation des früheren Installationsvorgangs auch letztere installiert. Daher müssen Kunden, die .NET Framework 3.0 Service Pack 2 installiert haben, Sicherheitsupdates für .NET Framework 2.0 Service Pack 2 installieren.
Ich habe .NET Framework 3.5 installiert. Muss ich weitere Updates installieren?
In diesem Bulletin wird eine Sicherheitsanfälligkeit in .NET Framework 2.0 und den .NET Framework 3.5-Featureebenen beschrieben. Die .NET Framework 3.5-Installationsketten sowohl im .NET Framework 2.0 Service Pack 1-Setup als auch im .NET Framework 3.0 Service Pack 1-Setup. Daher müssen Kunden, die .NET Framework 3.5 installiert haben, zusätzlich zu den Updates für .NET Framework 3.5 Sicherheitsupdates für .NET Framework 2.0 Service Pack 1 installieren.
Informationen dazu, ob zusätzliche Versionen von .NET Framework auf Ihrem System installiert sind, finden Sie im Häufig gestellten Eintrag "Gewusst wie bestimmen, welche Version von Microsoft .NET Framework installiert ist", weiter unten in diesem Abschnitt.
Ich habe .NET Framework 3.5 Service Pack 1 installiert. Muss ich weitere Updates installieren?
In diesem Bulletin wird eine Sicherheitsanfälligkeit in .NET Framework 2.0 und den .NET Framework 3.5-Featureebenen beschrieben. Das .NET Framework 3.5 Service Pack 1-Installationsprogrammkette sowohl im .NET Framework 2.0 Service Pack 2-Setup als auch im .NET Framework 3.0 Service Pack 2-Setup. Daher müssen Kunden, die .NET Framework 3.5 Service Pack 1 installiert haben, auch Sicherheitsupdates für .NET Framework 2.0 Service Pack 2 installieren.
Informationen dazu, ob zusätzliche Versionen von .NET Framework auf Ihrem System installiert sind, finden Sie im Häufig gestellten Eintrag "Gewusst wie bestimmen, welche Version von Microsoft .NET Framework installiert ist", weiter unten in diesem Abschnitt.
Warum wurde dieses Bulletin am 30. September 2010 überarbeitet?
Microsoft hat dieses Bulletin überarbeitet, um mitzuteilen, dass die Updates jetzt über alle Vertriebskanäle verfügbar sind, einschließlich Microsoft Update und Windows Update. Darüber hinaus wurden die folgenden Klarstellungen und Korrekturen ebenfalls in diese Revision einbezogen:
- Die folgenden Korrekturen an der Tabelle "Betroffene Software" wurden vorgenommen:
- Die Bulletinbeschreibung für Update-KB2418241 wurde korrigiert, um .NET Framework 3.5 Service Pack 1 auf Windows XP- und Windows Server 2003-Systemen einzuschließen. Dies war nur eine Bulletinänderung. Kunden, die das Update erfolgreich installiert haben, KB2418241 müssen nicht neu installiert werden. Kunden, die .NET Framework 3.5 Service Pack 1 auf Windows XP- oder Windows Server 2003-Systemen ausführen, die kein Update installiert haben, KB2418241 sollten das Update frühestens anwenden, auch wenn sie das Update bereits KB2416473 für .NET Framework 3.5 Service Pack 1 angewendet haben. Kunden sollten alle updates anwenden, die für die auf ihren Systemen installierte Software angeboten werden.
- Die Bulletinbeschreibung für Update-KB2416474 wurde korrigiert, um .NET Framework 3.5 Service Pack 1 auf Windows Vista- und Windows Server 2008-Systemen einzuschließen. Dies war nur eine Bulletinänderung. Kunden, die das Update erfolgreich installiert haben KB2416474 müssen nicht neu installiert werden. Kunden, die .NET Framework 3.5 Service Pack 1 auf Windows Vista- oder Windows Server 2008-Systemen ausführen, die kein Update installiert haben, KB2416474 sollten das Update möglichst früh anwenden, auch wenn sie das Update bereits KB2416473 für .NET Framework 3.5 Service Pack 1 angewendet haben. Kunden sollten alle updates anwenden, die für die auf ihren Systemen installierte Software angeboten werden.
- Die Bulletinbeschreibung für Update-KB2416470 wurde korrigiert, um Microsoft .NET Framework 3.5 und Microsoft .NET Framework 3.5 Service Pack 1 auf Windows Vista- und Windows Server 2008-Systemen einzuschließen. Dies war nur eine Bulletinänderung. Kunden, die das Update erfolgreich installiert haben KB2416470 müssen nicht neu installiert werden. Kunden, die .NET Framework 3.5 und Microsoft .NET Framework 3.5 Service Pack 1 auf Windows Vista- oder Windows Server 2008-Systemen ausführen, die kein Update installiert haben, KB2416470 sollten das Update frühestens anwenden, auch wenn sie das Update bereits KB2418240 für .NET Framework 3.5 angewendet und KB2416473 für .NET Framework 3.5 Service Pack 1 angewendet haben. Kunden sollten alle updates anwenden, die für die auf ihren Systemen installierte Software angeboten werden.
- Update KB2418240 wurde als zusätzliches Update für .NET Framework 3.5 für Windows XP- und Windows Server 2003-, Windows Vista Service Pack 1- und Windows Server 2008-Systeme aufgeführt. Dies war nur eine Bulletinänderung. Kunden, die das Update erfolgreich installiert haben, KB2418240 müssen nicht neu installiert werden. Kunden, die .NET Framework 3.5 unter Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008-Systemen ausführen, die das Update nicht installiert haben, KB2418240 sollten das Update frühestens anwenden, auch wenn sie bereits ein anderes Update für .NET Framework 3.5 angewendet haben. Kunden sollten alle updates anwenden, die für die auf ihren Systemen installierte Software angeboten werden.
- Die häufig gestellten Fragen "Gewusst wie bestimmen, welche Version von Microsoft .NET Framework installiert ist?" wurde in diesem Abschnitt hinzugefügt.
- Die häufig gestellten Fragen wurden hinzugefügt: "Es sind zwei Updates für die Version von Microsoft .NET Framework aufgeführt, die auf meinem System installiert ist. Muss ich beide Updates installieren?" in diesem Abschnitt.
- Die häufig gestellten Fragen "Muss ich diese Sicherheitsupdates in einer bestimmten Reihenfolge installieren?" wurde in diesem Abschnitt hinzugefügt.
Gewusst wie bestimmen, welche Version von Microsoft .NET Framework installiert ist?
Sie können mehrere Versionen von .NET Framework auf einem System installieren und ausführen, und Sie können die Versionen in beliebiger Reihenfolge installieren. Es gibt mehrere Möglichkeiten, um zu bestimmen, welche Versionen von .NET Framework derzeit installiert sind. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 318785.
Es sind zwei Updates für die Version von Microsoft .NET Framework aufgeführt, die auf meinem System installiert ist. Muss ich beide Updates installieren?
Ja. Kunden sollten alle updates anwenden, die für die auf ihren Systemen installierte Software angeboten werden.
Muss ich diese Sicherheitsupdates in einer bestimmten Sequenz installieren?
Nein Mehrere Updates für eine Version von .NET Framework können in jeder Sequenz angewendet werden. Es wird empfohlen, dass mehrere Updates für unterschiedliche Versionen von .NET Framework in Sequenz von der niedrigsten Versionsnummer auf die höchste angewendet werden, diese Sequenz ist jedoch nicht erforderlich.
Wo befinden sich die Dateiinformationen?
Informationen zum Speicherort der Dateiinformationen finden Sie in den Referenztabellen im Abschnitt "Sicherheitsupdatebereitstellung ".
Ich verwende eine ältere Version der Software, die in diesem Sicherheitsbulletin erläutert wird. Wie sollte ich vorgehen?
Die in diesem Bulletin aufgeführte betroffene Software wurde getestet, um festzustellen, welche Versionen betroffen sind. Andere Versionen sind über ihren Supportlebenszyklus hinweg. Weitere Informationen zum Produktlebenszyklus finden Sie auf der Website Microsoft-Support Lifecycle.
Es sollte eine Priorität für Kunden sein, die über ältere Versionen der Software verfügen, um zu unterstützten Versionen zu migrieren, um potenzielle Gefährdungen durch Sicherheitsrisiken zu verhindern. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion finden Sie unter Auswählen eines Produkts für Lebenszyklusinformationen. Weitere Informationen zu Service Packs für diese Softwareversionen finden Sie unter Lifecycle Supported Service Packs.
Kunden, die benutzerdefinierten Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kontoteammitarbeiter, den Technical Account Manager oder den entsprechenden Microsoft-Partnermitarbeiter wenden, um benutzerdefinierte Supportoptionen zu erhalten. Kunden ohne Allianz-, Premier- oder autorisierten Vertrag können sich an ihr lokales Microsoft-Vertriebsbüro wenden. Wenn Sie Kontaktinformationen benötigen, besuchen Sie die Microsoft Worldwide Information-Website , wählen Sie das Land in der Kontaktinformationsliste aus, und klicken Sie dann auf "Gehe zu" , um eine Liste der Telefonnummern anzuzeigen. Wenn Sie anrufen, bitten Sie, mit dem lokalen Premier Support Sales Manager zu sprechen. Weitere Informationen finden Sie in den häufig gestellten Fragen zur Microsoft-Support Lifecycle-Richtlinie.
Informationen zu Sicherheitsrisiken
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im September. Weitere Informationen finden Sie unter Microsoft Exploitability Index.
| Betroffene Software | ASP.NET Sicherheitsanfälligkeit in Oracle auffüllen – CVE-2010-3332 | Bewertung des aggregierten Schweregrads |
|---|---|---|
| Microsoft .NET Framework 1.1 Service Pack 1 | ||
| Microsoft .NET Framework 1.1 Service Pack 1 bei Installation unter Windows XP Service Pack 3 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 1.1 Service Pack 1 bei Installation unter Windows XP Professional x64 Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 1.1 Service Pack 1 unter Windows Server 2003 Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 1.1 Service Pack 1 bei Installation unter Windows Server 2003 x64 Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 1.1 Service Pack 1 bei Installation unter Windows Server 2003 Itanium-basierte Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 1.1 Service Pack 1 bei Installation unter Windows Vista Service Pack 1 und Windows Vista Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 1.1 Service Pack 1 bei Installation unter Windows Vista x64 Edition Service Pack 1 und Windows Vista x64 Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 1.1 Service Pack 1 bei Installation unter Windows Server 2008 für 32-Bit-Systeme und Windows Server 2008 für 32-Bit-Systeme Service Pack 2** | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 1.1 Service Pack 1 bei Installation unter Windows Server 2008 für x64-basierte Systeme und Windows Server 2008 für x64-basierte Systeme Service Pack 2** | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 1.1 Service Pack 1 bei Installation unter Windows Server 2008 für Itanium-basierte Systeme und Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 1 | ||
| Microsoft .NET Framework 2.0 Service Pack 1 unter Windows Vista Service Pack 1 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 1 unter Windows Vista x64 Edition Service Pack 1 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 1 unter Windows Server 2008 für 32-Bit-Systeme** | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 1 unter Windows Server 2008 für x64-basierte Systeme** | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 1 unter Windows Server 2008 für Itanium-basierte Systeme | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 | ||
| Microsoft .NET Framework 2.0 Service Pack 2 bei Installation unter Windows XP Service Pack 3 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 bei Installation unter Windows XP Professional x64 Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 bei Installation unter Windows Server 2003 Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 bei Installation unter Windows Server 2003 x64 Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 bei Installation unter Windows Server 2003 mit SP2 für Itanium-basierte Systeme | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Vista Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Vista x64 Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2** | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2** | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 | ||
| Microsoft .NET Framework 3.5 bei Installation unter Windows XP Service Pack 3 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 bei Installation unter Windows XP Professional x64 Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 bei Installation unter Windows Server 2003 Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 bei Installation unter Windows Server 2003 x64 Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 bei Installation unter Windows Server 2003 mit SP2 für Itanium-basierte Systeme | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 bei Installation unter Windows Vista Service Pack 1 und Windows Vista Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 bei Installation unter Windows Vista x64 Edition Service Pack 1 und Windows Vista x64 Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 bei Installation unter Windows Server 2008 für 32-Bit-Systeme** | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 bei Installation unter Windows Server 2008 für x64-basierte Systeme** | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 bei Installation unter Windows Server 2008 für Itanium-basierte Systeme | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 Service Pack 1 | ||
| Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows XP Service Pack 3 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows XP Professional x64 Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Server 2003 Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Server 2003 x64 Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Server 2003 mit SP2 für Itanium-basierte Systeme | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Vista Service Pack 1 und Windows Vista Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Vista x64 Edition Service Pack 1 und Windows Vista x64 Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Server 2008 für 32-Bit-Systeme und Windows Server 2008 für 32-Bit-Systeme Service Pack 2** | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Server 2008 für x64-basierte Systeme und Windows Server 2008 für x64-basierte Systeme Service Pack 2** | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Server 2008 für Itanium-basierte Systeme und Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5.1 | ||
| Microsoft .NET Framework 3.5.1 unter Windows 7 für 32-Bit-Systeme | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5.1 unter Windows 7 für x64-basierte Systeme | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5.1 unter Windows Server 2008 R2 für x64-basierte Systeme* | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5.1 unter Windows Server 2008 R2 für Itanium-basierte Systeme | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.0 | ||
| Microsoft .NET Framework 4.0 unter Windows XP Service Pack 3 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.0 unter Windows XP Professional x64 Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.0 unter Windows Server 2003 Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.0 unter Windows Server 2003 x64 Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.0 unter Windows Server 2003 mit SP2 für Itanium-basierte Systeme | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.0 unter Windows Vista Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.0 unter Windows Vista x64 Edition Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.0 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2** | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.0 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2** | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.0 unter Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.0 unter Windows 7 für 32-Bit-Systeme und Windows 7 für 32-Bit-Systeme Service Pack 1 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.0 unter Windows 7 für x64-basierte Systeme und Windows 7 für x64-basierte Systeme Service Pack 1 | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.0 unter Windows Server 2008 R2 für x64-basierte Systeme | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.0 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1* | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.0 unter Windows Server 2008 R2 für Itanium-basierte Systeme und Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 | Wichtige Offenlegung von Informationen | Wichtig |
*Server Core-Installation betroffen. Dieses Update gilt mit der gleichen Schweregradbewertung für unterstützte Editionen von Windows Server 2008 oder Windows Server 2008 R2, wie angegeben, unabhängig davon, ob die Server Core-Installationsoption installiert wurde. Weitere Informationen zu dieser Installationsoption finden Sie in den TechNet-Artikeln zum Verwalten einer Server Core-Installation und Wartung einer Server Core-Installation. Beachten Sie, dass die Server Core-Installationsoption nicht für bestimmte Editionen von Windows Server 2008 und Windows Server 2008 R2 gilt; siehe Vergleich der Server Core-Installationsoptionen.
**Server Core-Installation ist nicht betroffen. Die von diesem Update behobenen Sicherheitsrisiken wirken sich nicht auf unterstützte Editionen von Windows Server 2008 oder Windows Server 2008 R2 aus, wie angegeben, wenn sie mit der Server Core-Installationsoption installiert werden. Weitere Informationen zu dieser Installationsoption finden Sie in den TechNet-Artikeln zum Verwalten einer Server Core-Installation und Wartung einer Server Core-Installation. Beachten Sie, dass die Server Core-Installationsoption nicht für bestimmte Editionen von Windows Server 2008 und Windows Server 2008 R2 gilt; siehe Vergleich der Server Core-Installationsoptionen.
ASP.NET Sicherheitsanfälligkeit in Oracle auffüllen – CVE-2010-3332
Eine Sicherheitslücke zur Offenlegung von Informationen ist in ASP.NET aufgrund einer fehlerhaften Fehlerbehandlung während der Überprüfung des Verschlüsselungsabstands vorhanden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, konnte Daten lesen, z. B. den Ansichtszustand, der vom Server verschlüsselt wurde. Diese Sicherheitsanfälligkeit kann auch für Datenmanipulation verwendet werden, die, falls erfolgreich ausgenutzt, zum Entschlüsseln und Manipulieren der vom Server verschlüsselten Daten verwendet werden kann. Beachten Sie, dass diese Sicherheitsanfälligkeit es einem Angreifer nicht gestatten würde, Code auszuführen oder seine Benutzerrechte direkt zu erhöhen, es könnte jedoch verwendet werden, um Informationen zu erstellen, mit denen versucht werden könnte, das betroffene System weiter zu kompromittieren. In Microsoft .NET Framework 3.5 Service Pack 1 und höher kann diese Sicherheitsanfälligkeit auch von einem Angreifer verwendet werden, um den Inhalt einer beliebigen Datei innerhalb der ASP.NET-Anwendung einschließlich web.config abzurufen.
Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2010-3332.
Mildernde Faktoren für ASP.NET Verwundbarkeit von Oracle – CVE-2010-3332
Die Entschärfung bezieht sich auf eine Einstellung, eine allgemeine Konfiguration oder eine allgemeine bewährte Methode, die in einem Standardzustand vorhanden ist, wodurch der Schweregrad der Ausbeutung einer Sicherheitsanfälligkeit verringert werden kann. Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:
- Microsoft .NET Framework-Versionen vor Microsoft .NET Framework 3.5 Service Pack 1 sind von der Offenlegung von Dateiinhalten dieser Sicherheitsanfälligkeit nicht betroffen.
Problemumgehungen für ASP.NET Abstand von Oracle – CVE-2010-3332
Die Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht korrigiert, aber bekannte Angriffsvektoren blockiert, bevor Sie das Update anwenden. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Diskussion an, ob eine Problemumgehung die Funktionalität reduziert:
Aktivieren einer UrlScan- oder Anforderungsfilterregel, Aktivieren ASP.NET benutzerdefinierter Fehler und Zuordnen aller Fehlercodes zur gleichen Fehlerseite
Das Aktivieren des customErrors-Features von ASP.NET und das explizite Konfigurieren von Anwendungen, um immer dieselbe Fehlerseite zurückzugeben, unabhängig vom aufgetretenen Fehler auf dem Server, kann es für einen Angreifer schwieriger machen, den aktuellen Exploit zu verwenden, um zwischen den verschiedenen Typen von Fehlern zu unterscheiden, die auf einem Server auftreten.
Auf Systemen, die .NET Framework Version 3.5 Service Pack 1 und höher verwenden, bietet die Problemumgehung zusätzlichen Schutz, indem sie auch zum Schutz vor dem Timing-Angriffsteil des aktuellen Exploits beitragen. Die Problemumgehung verwendet die Option redirectMode="ResponseRewrite" im customErrors-Feature und führt eine zufällige Verzögerung auf der Fehlerseite ein. Diese Ansätze arbeiten zusammen, um es einem Angreifer schwieriger zu machen, den Fehlertyp zu ermitteln, der auf dem Server aufgetreten ist, indem die Zeit gemessen wird, die zum Empfangen des Fehlers benötigt wurde.
Darüber hinaus erfordert diese Problemumgehung Blockierungsanforderungen, die den Anwendungsfehlerpfad in der Abfragezeichenfolge angeben. Dies kann mithilfe von URLScan erfolgen, einem kostenlosen Tool für Internetinformationsdienste (IIS), das Anforderungen basierend auf vom Administrator definierten Regeln selektiv blockieren kann. Wenn Ihr System Internetinformationsdienste (IIS) unter Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 oder Windows Server 2008 R2 ausführt, können Sie alternativ das Feature "Anforderungsfilterung" verwenden.
Blockieren von Anforderungen, die ASP.Net Anwendungsfehlerpfad in der Anforderungsabfragezeichenfolge ändern
Verwenden von UrlScan:
Laden Sie UrlScan 3.1 herunter, und installieren Sie es. Weitere Anweisungen zum Konfigurieren und Verwenden von UrlScan finden Sie unter UrlScan 3 Reference.
Ändern Sie UrlScan.ini (in %windir%\system32\inetsrv\urlscan). Fügen Sie die folgende Zeile unter dem Abschnitt [DenyQueryStringSequences] der datei Urlscan.ini ein:
aspxerrorpath=Danach sollte der Abschnitt [DenyQueryStringSequences] ähnlich aussehen (zusätzliche Zeilen im Abschnitt sind in Ordnung und wirken sich nicht auf die Problemumgehung aus):
[DenyQueryStringSequences] aspxerrorpath=- Führen Sie iisreset über eine Eingabeaufforderung aus, während Sie als Administrator angemeldet sind.
Verwenden der IIS-Anforderungsfilterung:
Diese Anweisungen sind eine Alternative für die oben aufgeführten UrlScan-Anweisungen für Systeme mit IIS unter Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 oder Windows Server 2008 R2.
Installieren Sie das Feature "Anforderungsfilterung" in IIS entweder über "Programme hinzufügen/entfernen" oder "Rollenverwaltung", indem Sie das Feature unter Internetinformationsdienste, World Wide Web Services, Security auswählen.
Starten Sie Internetinformationsdienste (IIS)-Manager.
Wählen Sie den Serverknoten im linken Bereich aus.
Doppelklicken Sie auf " Anforderungsfilterung".
Wählen Sie die Registerkarte "Abfragezeichenfolgen" aus, und klicken Sie im Bereich "Aktionen" auf "Abfragezeichenfolge verweigern".
Geben Sie "aspxerrorpath=" in das Dialogfeld ein, und wählen Sie "OK" aus .
Alternativ können Sie auch den folgenden Appcmd-Befehl verwenden, um diese Abfrageabfragezeichenfolge für Die Anforderung festzulegen:
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']Weitere Informationen zur Verwendung von "appcmd" zum Konfigurieren von IIS finden Sie unter "Erste Schritte mit AppCmd.exe".
Konfigurieren von ASP.Net Anwendungen für einheitliche benutzerdefinierte Fehler
Ermitteln Sie im Stammordner jeder ASP.NET Webanwendung, ob Sie bereits über eine Web.config-Datei in diesem Ordner verfügen. Sie müssen über Berechtigungen zum Erstellen einer Datei im Zielverzeichnis verfügen, um diese Problemumgehung zu implementieren.
Wenn die ASP.NET-Anwendung keine Web.config-Datei enthält:
Unter .NET Framework 3.5 und früher
- Erstellen Sie eine Textdatei namens "web.config" im Stammordner der ASP.NET-Anwendung, und fügen Sie den folgenden Inhalt ein:
<configuration>
2. Create a text file named **error.html** containing a generic error message and save it in the root folder of the ASP.NET application.
3. Alternatively, you can rename error.html in the **web.config** file to point to an existing error page, but that page must display generic content, not context-specific content.
**On .NET Framework 3.5 Service Pack 1 and later**
1. Create a text file named **web.config** in the root folder of the ASP.NET application, and insert the following contents:
```
<configuration>
2. If you are comfortable using C\#, we recommend using the following **ErrorPage.aspx** file:
```
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
```
```
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
```
```
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "https://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
```
```
<html xmlns="https://www.w3.org/1999/xhtml">