Biztonsági közlemény
Microsoft MS10-070 biztonsági közlemény – Fontos
A ASP.NET biztonsági rése lehetővé teheti az információk közzétételét (2418042)
Közzétéve: 2010. szeptember 28. | Frissítve: 2011. október 26.
Verzió: 4.2
Általános információk
Vezetői összefoglaló
Ez a biztonsági frissítés feloldja a nyilvánosan közzétett biztonsági rést ASP.NET. A biztonsági rés lehetővé teheti az információk közzétételét. A biztonsági rést sikeresen kihasználó támadó adatokat olvashat, például a kiszolgáló által titkosított nézetállapotot. Ez a biztonsági rés adathamisításhoz is használható, amely sikeres kihasználtság esetén a kiszolgáló által titkosított adatok visszafejtésére és illetéktelen illetéktelen felhasználására használható. A Microsoft .NET-keretrendszer Microsoft .NET-keretrendszer 3.5 Service Pack 1 előtti verzióit nem érinti a biztonsági rés fájltartalom-közzétételi része.
Ez a biztonsági frissítés a Microsoft .NET-keretrendszer 1.0 Service Pack 3 kivételével a ASP.NET összes támogatott kiadásához fontosnak számít. További információt ebben a szakaszban az Érintett és a Nem érintett szoftverek alszakaszban talál.
A biztonsági frissítés úgy oldja meg a biztonsági rést, hogy a ASP.NET által titkosított összes adatot aláírja. A biztonsági réssel kapcsolatos további információkért tekintse meg a biztonságirés-bejegyzéssel kapcsolatos gyakori kérdések (GYIK) alszakaszt a biztonságirés-információk című következő szakaszban.
Ez a biztonsági frissítés a Microsoft Security Advisory 2416728 című cikkben ismertetett biztonsági rést is kezeli.
Ajánlás. A Microsoft azt javasolja, hogy az ügyfelek a lehető leghamarabb alkalmazzák a frissítést.
Lásd még a jelen közlemény későbbi, Észlelési és üzembehelyezési eszközei és útmutatója című szakaszt.
Ismert problémák.A Microsoft Tudásbázis cikke 2418042 a biztonsági frissítés telepítésekor az ügyfelek által tapasztalt, jelenleg ismert problémákat ismerteti. A cikk a javasolt megoldásokat is ismerteti ezekre a problémákra.
Érintett és nem érintett szoftverek
Az alábbi szoftvereket teszteltük annak megállapítására, hogy mely verziókra vagy kiadásokra van hatással. A többi verzió vagy kiadás vagy túllépte a támogatási életciklusukat, vagy nem érinti őket. A szoftververzió vagy -kiadás támogatási életciklusának meghatározásához látogasson el Microsoft ügyfélszolgálata Életciklus lapra.
Érintett szoftver
*A Server Core telepítése érintett. Ez a frissítés ugyanazzal a súlyossági minősítéssel a Windows Server 2008 R2 támogatott kiadásaira vonatkozik a jelzett módon, függetlenül attól, hogy a Server Core telepítési lehetőséggel van-e telepítve. Erről a telepítési lehetőségről további információt a TechNet-cikkekben talál: Server Core-telepítés kezelése és Kiszolgálómag-telepítés karbantartása. Vegye figyelembe, hogy a Server Core telepítési lehetősége nem vonatkozik a Windows Server 2008 és a Windows Server 2008 R2 egyes kiadásaira; lásd a Kiszolgálómag telepítési beállításainak összehasonlítása című témakört.
**A Server Core telepítésére nincs hatással. A frissítés által elhárított biztonsági rések nem érintik a Windows Server 2008 támogatott kiadásait a Server Core telepítési lehetőséggel való telepítéskor. Erről a telepítési lehetőségről további információt a TechNet-cikkekben talál: Server Core-telepítés kezelése és Kiszolgálómag-telepítés karbantartása. Vegye figyelembe, hogy a Server Core telepítési lehetősége nem vonatkozik a Windows Server 2008 és a Windows Server 2008 R2 egyes kiadásaira; lásd a Kiszolgálómag telepítési beállításainak összehasonlítása című témakört.
[1].NET-keretrendszer 4.0-s ügyfélprofil nem érintett. A .NET-keretrendszer 4-es verziójú terjeszthető csomagok két profilban érhetők el: .NET-keretrendszer 4.0 és .NET-keretrendszer 4.0-s ügyfélprofil. A .NET-keretrendszer 4.0-s ügyfélprofil a .NET-keretrendszer 4.0 részhalmaza. A frissítés során elhárított biztonsági rés csak a .NET-keretrendszer 4.0-s verziót érinti, a .NET-keretrendszer 4.0-s ügyfélprofilt nem. További információ: A .NET-keretrendszer telepítése.
Nem érintett szoftverek
Operációs rendszer | Összetevő |
---|---|
Microsoft .NET-keretrendszer 1.0 Service Pack 3 | |
Windows XP Service Pack 3 | Microsoft .NET-keretrendszer 1.0 Service Pack 3 (csak Windows XP Media Center Edition 2005 és Windows XP Tablet PC Edition 2005) |
Microsoft .NET-keretrendszer 3.5.1 | |
Windows 7 for 32 bites Systems Service Pack 1 | Microsoft .NET-keretrendszer 3.5.1 |
Windows 7 x64-alapú Systems Service Pack 1-hez | Microsoft .NET-keretrendszer 3.5.1 |
Windows Server 2008 R2 x64-alapú Systems Service Pack 1-hez | Microsoft .NET-keretrendszer 3.5.1 |
Windows Server 2008 R2 for Itanium-alapú Systems Service Pack 1 | Microsoft .NET-keretrendszer 3.5.1 |
A biztonsági frissítéssel kapcsolatos gyakori kérdések (GYIK)
Miért módosították ezt a közleményt 2011. február 22-én?
A Microsoft módosította ezt a biztonsági közleményt, hogy bejelentse az észlelési változást, hogy a Microsoft .NET-keretrendszer 4.0 (KB2416472) frissítési csomagokat kínáljon a Windows 7 rendszert futtató rendszereknek a 32 bites Systems Service Pack 1 rendszerhez, a Windows 7 x64-alapú Systems Service Pack 1-hez, a Windows Server 2008 R2 x64-alapú Systems Service Pack 1-hez és a Windows Server 2008 R2 for Itanium-alapú Systems Service Pack 1 rendszerhez. Ez az észlelési változás csak azokra az ügyfelekre vonatkozik, akik a Microsoft .NET-keretrendszer 4.0-t telepítik a Windows 7 32 bites Rendszerek Service Pack 1, az x64-alapú Windows 7 x64-alapú Rendszerek Service Pack 1, a Windows Server 2008 R2 x64-alapú Systems Service Pack 1 vagy a Windows Server 2008 R2 itanium-alapú Rendszerek Service Pack 1 telepítéséhez. Azoknak az ügyfeleknek, akik már sikeresen frissítették a rendszereiket, nem kell semmilyen műveletet végrehajtaniuk.
Miért módosították ezt a közleményt 2010. december 14-én?
A Microsoft módosította ezt a biztonsági közleményt, hogy bejelentse, hogy új frissítési csomagok érhetők el a Microsoft .NET-keretrendszer 4.0 -hoz (KB2416472). Ezek az új csomagok kijavítanak egy hibát a telepítés során, amely megzavarhatja más frissítések sikeres telepítését. A probléma által esetleg érintett másik termék vagy frissítés telepítésével rendelkező ügyfelek további információért tekintse meg a Microsoft tudásbázisának 2473228 cikkét. Azoknak az ügyfeleknek, akik már sikeresen frissítették a rendszereiket, nem kell semmilyen műveletet végrehajtaniuk.
Telepítve van .NET-keretrendszer 3.0 Service Pack 2; ez a verzió nem szerepel az érintett szoftverek között ebben a közleményben. Telepítenem kell egy frissítést?
Ez a közlemény a .NET-keretrendszer 2.0 és a .NET-keretrendszer 3.5 szolgáltatásrétegek biztonsági rését ismerteti. A .NET-keretrendszer 3.0 Service Pack 2 telepítőláncai a .NET-keretrendszer 2.0 Service Pack 2 telepítőjében, így az előbbi telepítése az utóbbit is telepíti. Ezért a .NET-keretrendszer 3.0 Service Pack 2 szervizcsomaggal rendelkező ügyfeleknek telepíteniük kell a biztonsági frissítéseket a .NET-keretrendszer 2.0 Service Pack 2 szervizcsomaghoz.
Telepítettem .NET-keretrendszer 3.5-ös verziót. Telepítenem kell további frissítéseket?
Ez a közlemény a .NET-keretrendszer 2.0 és a .NET-keretrendszer 3.5 szolgáltatásrétegek biztonsági rését ismerteti. A .NET-keretrendszer 3.5 telepítőláncok mind a .NET-keretrendszer 2.0 Service Pack 1 telepítőjében, mind a .NET-keretrendszer 3.0 Service Pack 1 beállításban. Ezért a .NET-keretrendszer 3.5-ös verzióval rendelkező ügyfeleknek a 3.5-ös .NET-keretrendszer frissítések mellett telepíteniük kell a .NET-keretrendszer 2.0 Service Pack 1 biztonsági frissítéseit is.
Annak megállapításához, hogy a .NET-keretrendszer telepített-e további verziókat a rendszerre, olvassa el a jelen szakasz későbbi, "Hogyan határozza meg, hogy a Microsoft .NET-keretrendszer melyik verziója van telepítve".
Telepítve van .NET-keretrendszer 3.5 Service Pack 1. Telepítenem kell további frissítéseket?
Ez a közlemény a .NET-keretrendszer 2.0 és a .NET-keretrendszer 3.5 szolgáltatásrétegek biztonsági rését ismerteti. A .NET-keretrendszer 3.5 Service Pack 1 telepítőlánca a .NET-keretrendszer 2.0 Service Pack 2 telepítőjében és a .NET-keretrendszer 3.0 Service Pack 2 telepítőjében is. Ezért a .NET-keretrendszer 3.5 Service Pack 1 szervizcsomaggal rendelkező ügyfeleknek is telepíteniük kell a biztonsági frissítéseket a .NET-keretrendszer 2.0 Service Pack 2 csomaghoz.
Annak megállapításához, hogy a .NET-keretrendszer telepített-e további verziókat a rendszerre, olvassa el a jelen szakasz későbbi, "Hogyan határozza meg, hogy a Microsoft .NET-keretrendszer melyik verziója van telepítve".
Miért módosították ezt a közleményt 2010. szeptember 30-án?
A Microsoft módosította ezt a közleményt, hogy bejelentse, hogy a frissítések mostantól minden terjesztési csatornán elérhetők, beleértve a Microsoft Update-et és a Windows Update-et is. Ezenkívül a felülvizsgálat a következő pontosításokat és javításokat is tartalmazza:
- A következő javításokat végezte el az Érintett szoftver táblában:
- A frissítési KB2418241 értesítőjének leírása úgy lett javítva, hogy tartalmazza .NET-keretrendszer 3.5 Service Pack 1-et Windows XP és Windows Server 2003 rendszereken. Ez csak a közlemény módosítása volt. Azoknak az ügyfeleknek, akik sikeresen telepítették a frissítési KB2418241 nem kell újratelepíteniük. Azok a Windows XP vagy Windows Server 2003 rendszereken futó .NET-keretrendszer 3.5 Service Pack 1 szervizcsomaggal rendelkező ügyfeleknek, akik nem telepítették a frissítési KB2418241, a lehető leghamarabb alkalmazniuk kell a frissítést, még akkor is, ha már alkalmazták KB2416473 .NET-keretrendszer 3.5 Service Pack 1 szervizcsomagra. Az ügyfeleknek minden olyan frissítést alkalmazniuk kell, amelyet a rendszerükre telepített szoftverekhez kínálnak.
- A frissítési KB2416474 közleményének leírása úgy lett javítva, hogy .NET-keretrendszer 3.5 Service Pack 1-et tartalmazzon Windows Vista és Windows Server 2008 rendszereken. Ez csak a közlemény módosítása volt. Azoknak az ügyfeleknek, akik sikeresen telepítették a frissítési KB2416474 nem kell újratelepíteniük. Azok a Windows Vista vagy Windows Server 2008 rendszerű .NET-keretrendszer 3.5 Service Pack 1 szervizcsomagot futtató ügyfeleknek, akik nem telepítették a frissítési KB2416474, a lehető leghamarabb alkalmazniuk kell a frissítést, még akkor is, ha már alkalmazták a frissítési KB2416473 .NET-keretrendszer 3.5 Service Pack 1 szervizcsomagra. Az ügyfeleknek minden olyan frissítést alkalmazniuk kell, amelyet a rendszerükre telepített szoftverekhez kínálnak.
- A frissítési KB2416470 közleményének leírása a Microsoft .NET-keretrendszer 3.5 és a Microsoft .NET-keretrendszer 3.5 Service Pack 1 windows vista és Windows Server 2008 rendszereken való szerepeltetésére lett javítva. Ez csak a közlemény módosítása volt. Azoknak az ügyfeleknek, akik sikeresen telepítették a frissítési KB2416470 nem kell újratelepíteniük. Azok a Windows Vista vagy Windows Server 2008 rendszereken futó .NET-keretrendszer 3.5-ös és Microsoft .NET-keretrendszer 3.5 Service Pack 1-et futtató ügyfeleknek, akik nem telepítették a frissítést, KB2416470 a lehető leghamarabb alkalmazniuk kell a frissítést, még akkor is, ha már alkalmazták a .NET-keretrendszer 3.5-ös frissítési KB2418240, és frissítik a KB2416473 .NET-keretrendszer 3.5 Service Pack 1. Az ügyfeleknek minden olyan frissítést alkalmazniuk kell, amelyet a rendszerükre telepített szoftverekhez kínálnak.
- A frissítési KB2418240 a Windows XP, a Windows Server 2003, a Windows Vista Service Pack 1 és a Windows Server 2008 rendszerek .NET-keretrendszer 3.5-ös újabb frissítéseként szerepelt. Ez csak a közlemény módosítása volt. Azoknak az ügyfeleknek, akik sikeresen telepítették a frissítési KB2418240 nem kell újratelepíteniük. Azok a Windows XP, Windows Server 2003, Windows Vista és Windows Server 2008 rendszereken .NET-keretrendszer 3.5-ös verziót futtató ügyfeleknek, akik nem telepítették a frissítést, KB2418240 a lehető leghamarabb alkalmazniuk kell a frissítést, még akkor is, ha már más frissítést alkalmaztak a .NET-keretrendszer 3.5-ös verzióra. Az ügyfeleknek minden olyan frissítést alkalmazniuk kell, amelyet a rendszerükre telepített szoftverekhez kínálnak.
- Ebben a szakaszban a "Hogyan határozza meg, hogy a Microsoft .NET-keretrendszer melyik verziója van telepítve?" című gyakori kérdéseket.
- A gyakori kérdéseket a következőhöz fűzte: "A Microsoft .NET-keretrendszer verziójához két frissítés van telepítve a rendszeren. Mindkét frissítést telepíteni kell?" ebben a szakaszban.
- Ehhez a szakaszhoz hozzáadta a "Telepíteni kell ezeket a biztonsági frissítéseket egy adott sorrendben?" című gyakori kérdéseket.
Hogyan határozza meg, hogy a Microsoft .NET-keretrendszer melyik verziója van telepítve?
A .NET-keretrendszer több verzióját is telepítheti és futtathatja egy rendszeren, és a verziókat bármilyen sorrendben telepítheti. A .NET-keretrendszer jelenleg többféleképpen is meghatározható. További információt a Microsoft Tudásbázis 318785 című cikkben talál.
A microsoftos .NET-keretrendszer verziójához két frissítés van telepítve a rendszeren. Mindkét frissítést telepíteni kell?
Igen. Az ügyfeleknek minden olyan frissítést alkalmazniuk kell, amelyet a rendszerükre telepített szoftverekhez kínálnak.
Telepíteni kell ezeket a biztonsági frissítéseket egy adott sorrendben?
Szám A .NET-keretrendszer egy verziójához több frissítés is alkalmazható tetszőleges sorrendben. Javasoljuk, hogy a .NET-keretrendszer különböző verzióihoz több frissítést is alkalmazzon a legalacsonyabb verziószámtól a legmagasabbig sorozatban, de ez a sorozat nem szükséges.
Hol találhatók a fájlinformációk részletei?
A fájlinformációk részleteinek helyéről a Biztonsági frissítés központi telepítése szakaszban található referenciatáblákban olvashat.
A jelen biztonsági közleményben tárgyalt szoftver egy régebbi kiadását használom. Mit tegyek?
A jelen közleményben felsorolt érintett szoftvereket teszteltük annak megállapítására, hogy mely kiadások érintik az érintett kiadásokat. A többi kiadás túllépte a támogatási életciklusukat. A termék életciklusával kapcsolatos további információkért látogasson el a Microsoft ügyfélszolgálata Életciklus webhelyre.
Prioritásnak kell lennie azoknak az ügyfeleknek, akik a szoftver régebbi kiadásaival rendelkeznek, hogy támogatott kiadásokra migráljanak, hogy megelőzzék a biztonsági réseknek való potenciális kitettséget. A szoftverkiadás támogatási életciklusának meghatározásához lásd : Termék kiválasztása életciklus-információkhoz. A szoftververziók szervizcsomagjaival kapcsolatos további információkért lásd : Életciklus által támogatott szervizcsomagok.
A régebbi szoftverekhez egyéni támogatást igénylő ügyfeleknek kapcsolatba kell lépniük a Microsoft-fiók csapatának képviselőjével, a Technical Account Managerrel vagy a Microsoft megfelelő partneri képviselőjével az egyéni támogatási lehetőségekért. A Szövetség, Premier vagy Hivatalos Szerződéssel nem rendelkező ügyfelek kapcsolatba léphetnek a helyi Microsoft értékesítési irodával. Kapcsolattartási információkért látogasson el a Microsoft Worldwide Information webhelyére, válassza ki az országot a Partneradatok listában, majd kattintson az Ugrás gombra a telefonszámok listájának megtekintéséhez. Amikor telefonál, kérje meg, hogy beszéljen a helyi premier támogatási értékesítési vezetővel. További információ: Microsoft ügyfélszolgálata Életciklus Szabályzat – gyakori kérdések.
Biztonsági rés információi
Súlyossági minősítések és biztonságirés-azonosítók
Az alábbi súlyossági minősítések feltételezik a biztonsági rés lehetséges maximális hatását. A biztonsági rés súlyossági besorolással és biztonsági hatásokkal kapcsolatos kihasználhatóságának valószínűségéről a biztonsági közlemény megjelenésétől számított 30 napon belül tekintse meg a szeptemberi közlemény összegzésében található Kizsákmányolhatósági indexet. További információ: Microsoft Exploitability Index.
Érintett szoftver | ASP.NET Párnázási Oracle biztonsági rés – CVE-2010-3332 | Súlyosság összesített minősítése |
---|---|---|
Microsoft .NET-keretrendszer 1.1 Service Pack 1 | ||
A Microsoft .NET-keretrendszer 1.1 Service Pack 1 windows XP Service Pack 3 szervizcsomagra való telepítésekor | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 1.1 Service Pack 1 a Windows XP Professional x64 Edition Service Pack 2 szervizcsomagra való telepítésekor | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 1.1 Service Pack 1 a Windows Server 2003 Service Pack 2 rendszeren | Fontos információk közzététele | Fontos |
Windows Server 2003 x64 Edition Service Pack 2 rendszeren telepített Microsoft .NET-keretrendszer 1.1 Service Pack 1 | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 1.1 Service Pack 1 a Windows Server 2003 Itanium-alapú Service Pack 2 szervizcsomagra való telepítésekor | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 1.1 Service Pack 1 szervizcsomag a Windows Vista Service Pack 1 és a Windows Vista Service Pack 2 rendszeren való telepítéskor | Fontos információk közzététele | Fontos |
Windows Vista x64 Edition Service Pack 1 és Windows Vista x64 Edition Service Pack 2 rendszeren telepített Microsoft .NET-keretrendszer 1.1 Service Pack 1 szervizcsomag | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 1.1 Service Pack 1 a Windows Server 2008 32 bites rendszerekhez és a Windows Server 2008 32 bites Rendszerek Service Pack 2**-hez való telepítésekor | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 1.1 Service Pack 1 x64-alapú Windows Server 2008-ra és Windows Server 2008 x64-alapú Rendszerek Service Pack 2**-ra való telepítésekor | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 1.1 Service Pack 1, ha a Windows Server 2008 for Itanium-alapú rendszerekre és a Windows Server 2008 for Itanium-alapú Systems Service Pack 2-ra van telepítve | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 2.0 Service Pack 1 | ||
Microsoft .NET-keretrendszer 2.0 Service Pack 1 Windows Vista Service Pack 1 rendszeren | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 2.0 Service Pack 1 Windows Vista x64 Edition Service Pack 1 rendszeren | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 2.0 Service Pack 1 Windows Server 2008 rendszeren 32 bites rendszerekhez** | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 2.0 Service Pack 1 x64-alapú Windows Server 2008 rendszeren** | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 2.0 Service Pack 1 a Windows Server 2008 for Itanium-alapú rendszereken | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 2.0 Service Pack 2 | ||
A Microsoft .NET-keretrendszer 2.0 Service Pack 2 a Windows XP Service Pack 3 szervizcsomagra való telepítésekor | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 2.0 Service Pack 2 a Windows XP Professional x64 Edition Service Pack 2 szervizcsomagra való telepítésekor | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 2.0 Service Pack 2 a Windows Server 2003 Service Pack 2 szervizcsomagra való telepítésekor | Fontos információk közzététele | Fontos |
Windows Server 2003 x64 Edition Service Pack 2 rendszeren telepített Microsoft .NET-keretrendszer 2.0 Service Pack 2 | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 2.0 Service Pack 2, ha a Windows Server 2003 sp2-vel itanium-alapú rendszerekre van telepítve | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 2.0 Service Pack 2 Windows Vista Service Pack 2 rendszeren | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 2.0 Service Pack 2 Windows Vista x64 Edition Service Pack 2 rendszeren | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 2.0 Service Pack 2 Windows Server 2008 rendszeren 32 bites Systems Service Pack 2** | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 2.0 Service Pack 2 x64-alapú Windows Server 2008 rendszeren 2** | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 2.0 Service Pack 2 a Windows Server 2008 for Itanium-alapú Systems Service Pack 2 rendszeren | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 3.5 | ||
A Microsoft .NET-keretrendszer 3.5 Windows XP Service Pack 3 rendszerre való telepítésekor | Fontos információk közzététele | Fontos |
Windows XP Professional x64 Edition Service Pack 2 rendszeren telepített Microsoft .NET-keretrendszer 3.5 | Fontos információk közzététele | Fontos |
Windows Server 2003 Service Pack 2 rendszerre telepített Microsoft .NET-keretrendszer 3.5 | Fontos információk közzététele | Fontos |
Windows Server 2003 x64 Edition Service Pack 2 rendszeren telepített Microsoft .NET-keretrendszer 3.5 | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 3.5, ha a Windows Server 2003 sp2 itanium-alapú rendszerekre van telepítve | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 3.5 a Windows Vista Service Pack 1 és a Windows Vista Service Pack 2 szervizcsomagra való telepítéskor | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 3.5 a Windows Vista x64 Edition Service Pack 1 és a Windows Vista x64 Edition Service Pack 2 szervizcsomagra való telepítésekor | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 3.5 a Windows Server 2008 32 bites rendszerekhez való telepítésekor** | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 3.5 x64-alapú Windows Server 2008 rendszerre való telepítésekor** | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 3.5, ha a Windows Server 2008 for Itanium-alapú rendszerekre van telepítve | Fontos információk közzététele | Fontos |
Microsoft .NET Framework 3.5 Service Pack 1 | ||
A Microsoft .NET-keretrendszer 3.5 Service Pack 1 windows XP Service Pack 3 szervizcsomagra való telepítésekor | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 3.5 Service Pack 1 a Windows XP Professional x64 Edition Service Pack 2 szervizcsomagra való telepítéskor | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 3.5 Service Pack 1 a Windows Server 2003 Service Pack 2 szervizcsomagra való telepítéskor | Fontos információk közzététele | Fontos |
Windows Server 2003 x64 Edition Service Pack 2 rendszeren telepített Microsoft .NET-keretrendszer 3.5 Service Pack 1 | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 3.5 Service Pack 1 a Windows Server 2003 sp2 itanium-alapú rendszerekre való telepítésekor | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 3.5 Service Pack 1 szervizcsomag a Windows Vista Service Pack 1 és a Windows Vista Service Pack 2 rendszerre való telepítésekor | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 3.5 Service Pack 1 a Windows Vista x64 Edition Service Pack 1 és a Windows Vista x64 Edition Service Pack 2 rendszerre való telepítéskor | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 3.5 Service Pack 1 a Windows Server 2008 32 bites rendszerekhez és a Windows Server 2008 32 bites Rendszerek Service Pack 2**-hez való telepítésekor | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 3.5 Service Pack 1 x64-alapú Windows Server 2008-ra és x64-alapú Windows Server 2008 x64-alapú Rendszerek Service Pack 2**-ra való telepítésekor | Fontos információk közzététele | Fontos |
A Microsoft .NET-keretrendszer 3.5 Service Pack 1, ha a Windows Server 2008 for Itanium-alapú rendszerekre és a Windows Server 2008 for Itanium-alapú Systems Service Pack 2-ra van telepítve | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 3.5.1 | ||
Microsoft .NET-keretrendszer 3.5.1 Windows 7 rendszeren 32 bites rendszereken | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 3.5.1 x64-alapú Windows 7 rendszeren | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 3.5.1 x64-alapú Windows Server 2008 R2 rendszeren* | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 3.5.1 Itanium-alapú Windows Server 2008 R2 rendszeren | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 4.0 | ||
Microsoft .NET-keretrendszer 4.0 Windows XP Service Pack 3 rendszeren | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 4.0 Windows XP Professional x64 Edition Service Pack 2 rendszeren | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 4.0 Windows Server 2003 Service Pack 2 rendszeren | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 4.0 Windows Server 2003 x64 Edition Service Pack 2 rendszeren | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 4.0 a Windows Server 2003 sp2 for Itanium-alapú rendszereken | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 4.0 Windows Vista Service Pack 2 rendszeren | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 4.0 Windows Vista x64 Edition Service Pack 2 rendszeren | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 4.0 Windows Server 2008 rendszeren 32 bites Systems Service Pack 2** | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 4.0 x64-alapú Windows Server 2008 rendszeren x64-alapú Systems Service Pack 2** | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 4.0 a Windows Server 2008 for Itanium-alapú Systems Service Pack 2 rendszeren | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 4.0 Windows 7 rendszeren 32 bites rendszerekhez és Windows 7 32 bites rendszerekhez Service Pack 1 | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 4.0 windows 7 rendszeren x64-alapú rendszerekhez és Windows 7 x64-alapú Rendszerek Service Pack 1-hez | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 4.0 x64-alapú Windows Server 2008 R2 rendszeren | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 4.0 x64-alapú Windows Server 2008 R2 rendszeren 1* | Fontos információk közzététele | Fontos |
Microsoft .NET-keretrendszer 4.0 Itanium-alapú Windows Server 2008 R2 rendszeren és Windows Server 2008 R2 itanium-alapú Rendszerek Service Pack 1 rendszerhez | Fontos információk közzététele | Fontos |
*A Server Core telepítése érintett. Ez a frissítés ugyanazzal a súlyossági minősítéssel vonatkozik a Windows Server 2008 vagy a Windows Server 2008 R2 támogatott kiadásaira a jelzett módon, függetlenül attól, hogy a Server Core telepítési lehetőséggel van-e telepítve. Erről a telepítési lehetőségről további információt a TechNet-cikkekben talál: Server Core-telepítés kezelése és Kiszolgálómag-telepítés karbantartása. Vegye figyelembe, hogy a Server Core telepítési lehetősége nem vonatkozik a Windows Server 2008 és a Windows Server 2008 R2 egyes kiadásaira; lásd a Kiszolgálómag telepítési beállításainak összehasonlítása című témakört.
**A Server Core telepítésére nincs hatással. A frissítés által kezelt biztonsági rések nem érintik a Windows Server 2008 vagy a Windows Server 2008 R2 támogatott kiadásait a Server Core telepítési lehetőség használatával történő telepítéskor. Erről a telepítési lehetőségről további információt a TechNet-cikkekben talál: Server Core-telepítés kezelése és Kiszolgálómag-telepítés karbantartása. Vegye figyelembe, hogy a Server Core telepítési lehetősége nem vonatkozik a Windows Server 2008 és a Windows Server 2008 R2 egyes kiadásaira; lásd a Kiszolgálómag telepítési beállításainak összehasonlítása című témakört.
ASP.NET Párnázási Oracle biztonsági rés – CVE-2010-3332
A titkosítási párnázás ellenőrzése során nem megfelelő hibakezelés miatt ASP.NET információfeltárási biztonsági rés áll fenn. A biztonsági rést sikeresen kihasználó támadó adatokat olvashat, például a kiszolgáló által titkosított nézetállapotot. Ez a biztonsági rés adathamisításhoz is használható, amely sikeres kihasználtság esetén a kiszolgáló által titkosított adatok visszafejtésére és illetéktelen illetéktelen felhasználására használható. Vegye figyelembe, hogy ez a biztonsági rés nem teszi lehetővé a támadók számára a kód végrehajtását vagy a felhasználói jogosultságok közvetlen emelését, de olyan információk előállítására használható, amelyek az érintett rendszer további veszélyeztetésére használhatók. A Microsoft .NET-keretrendszer 3.5 Service Pack 1 és újabb verzióiban ezt a biztonsági rést a támadók is használhatják a ASP.NET alkalmazás bármely fájljának tartalmának lekéréséhez, beleértve a web.config csomagot is.
A biztonsági rés standard bejegyzésként való megtekintéséhez lásd a CVE-2010-3332-et.
A ASP.NET párnázási oracle biztonsági résének enyhítése – CVE-2010-3332
A kockázatcsökkentés egy alapértelmezett állapotban meglévő beállításra, általános konfigurációra vagy általános ajánlott eljárásra utal, amely csökkentheti a biztonsági rések kihasználásának súlyosságát. Az alábbi enyhítő tényezők hasznosak lehetnek az Ön helyzetében:
- A Microsoft .NET-keretrendszer Microsoft .NET-keretrendszer 3.5 Service Pack 1 előtti verzióit nem érinti a biztonsági rés fájltartalom-közzétételi része.
Kerülő megoldások a ASP.NET párnázási oracle biztonsági réséhez – CVE-2010-3332
A megkerülő megoldás olyan beállításra vagy konfigurációmódosításra utal, amely nem javítja ki a mögöttes biztonsági rést, de segít blokkolni az ismert támadási vektorokat a frissítés alkalmazása előtt. A Microsoft a következő kerülő megoldásokat és állapotokat tesztelte a vita során, hogy egy kerülő megoldás csökkenti-e a funkciókat:
UrlScan vagy Request Filtering szabály engedélyezése, ASP.NET egyéni hibák engedélyezése és az összes hibakód leképezése ugyanarra a hibaoldalra
Ha engedélyezi az ASP.NET customErrors funkcióját, és explicit módon konfigurálja az alkalmazásokat, hogy mindig ugyanazt a hibalapot adja vissza, függetlenül a kiszolgálón tapasztalt hibától, megnehezítheti, hogy a támadó az aktuális kihasználtság használatával különbséget tegyen a kiszolgálón előforduló különböző típusú hibák között.
A .NET-keretrendszer 3.5 Service Pack 1-es és újabb verzióját használó rendszereken a kerülő megoldás további védelmet nyújt azáltal, hogy segít megvédeni az aktuális kihasználtság időzítési támadási részét. A kerülő megoldás a customErrors funkció redirectMode="ResponseRewrite" beállítását használja, és véletlenszerű késést okoz a hibaoldalon. Ezek a módszerek együttműködve megnehezítik a támadók számára a kiszolgálón előforduló hiba típusát a hiba fogadásához szükséges idő mérésével.
Emellett ehhez a kerülő megoldáshoz blokkolni kell azokat a kéréseket, amelyek meghatározzák az alkalmazás hibaelérési útvonalát a lekérdezésláncon. Ez az INTERNET Information Services (IIS) ingyenes eszközének, az URLScan-nek a használatával végezhető el, amely szelektíven blokkolhatja a kéréseket a rendszergazda által meghatározott szabályok alapján. Ha a rendszer az Internet Information Servicest (IIS) a Windows Vista Service Pack 2, a Windows Server 2008 Service Pack 2, a Windows 7 vagy a Windows Server 2008 R2 rendszeren futtatja, használhatja a Kérésszűrési funkciót is.
A kéréslekérdezés ASP.Net alkalmazáshiba-útvonalát módosító kérések letiltása
Az UrlScan használata:
Töltse le és telepítse az UrlScan 3.1-et. Az UrlScan konfigurálásával és használatával kapcsolatos további utasításokért lásd : UrlScan 3 Reference.
Módosítsa a UrlScan.ini (a következő helyen található: %windir%\system32\inetsrv\urlscan). Szúrja be a következő sort a Urlscan.ini fájl [DenyQueryStringSequences] szakasza alá:
aspxerrorpath=
Ezt követően a [DenyQueryStringSequences] szakasznak ehhez hasonlónak kell lennie (a szakasz további sorai rendben vannak, és nem érintik a kerülő megoldást):
[DenyQueryStringSequences] aspxerrorpath=
- Futtassa az iisreset parancsot egy parancssorból, miközben rendszergazdaként jelentkezett be.
IIS-kérésszűrés használata:
Ezek az utasítások a fenti UrlScan-utasítások alternatívái a Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 vagy Windows Server 2008 R2 rendszeren IIS-t futtató rendszerekhez.
Telepítse a Kérelemszűrési funkciót az IIS-ben a Programok hozzáadása/eltávolítása vagy a Szerepkör-kezelő segítségével az Internet Information Services, a World Wide Web Services és a Security területen található funkció kiválasztásával.
Indítsa el az Internet Information Services (IIS) kezelőjét.
Válassza ki a kiszolgálócsomópontot a bal oldali panelen.
Kattintson duplán a Kérelemszűrés elemre.
Válassza a Lekérdezési sztringek lapot, és kattintson a Lekérdezési sztring megtagadása ... elemre a Műveletek panelen.
Írja be az aspxerrorpath= értéket a párbeszédpanelen, és válassza az OK gombot.
Másik lehetőségként a következő appcmd paranccsal is beállíthatja ezt a lekérdezési lekérdezést:
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']
Az appcmd IIS konfigurálására való használatával kapcsolatos további információkért tekintse meg a AppCmd.exe használatának első lépéseit.
ASP.Net alkalmazások konfigurálása egységes egyéni hibák használatára
Az egyes ASP.NET webalkalmazások gyökérmappájában állapítsa meg, hogy van-e már web.config fájl ebben a mappában. A kerülő megoldás implementálásához jogosultságokkal kell rendelkeznie ahhoz, hogy a célkönyvtárban hozzon létre egy fájlt.
Ha a ASP.NET alkalmazás nem rendelkezik web.config fájllal:
A .NET-keretrendszer 3.5-ös és korábbi verzióiban
- Hozzon létre egy web.config nevű szövegfájlt a ASP.NET alkalmazás gyökérmappájában, és szúrja be a következő tartalmat:
<configuration>
2. Create a text file named **error.html** containing a generic error message and save it in the root folder of the ASP.NET application.
3. Alternatively, you can rename error.html in the **web.config** file to point to an existing error page, but that page must display generic content, not context-specific content.
**On .NET Framework 3.5 Service Pack 1 and later**
1. Create a text file named **web.config** in the root folder of the ASP.NET application, and insert the following contents:
```
<configuration>
```
2. If you are comfortable using C\#, we recommend using the following **ErrorPage.aspx** file:
```
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
```
```
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
```
```
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "https://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
```
```
<html xmlns="https://www.w3.org/1999/xhtml">