Bollettino sulla sicurezza
Microsoft Security Bulletin MS09-036 - Importante
La vulnerabilità nei ASP.NET in Microsoft Windows potrebbe consentire la negazione del servizio (970957)
Pubblicato: 11 agosto 2009 | Aggiornato: 13 agosto 2009
Versione: 1.1
Informazioni generali
Schema riepilogativo
Questo aggiornamento della sicurezza risolve una vulnerabilità Denial of Service segnalata privatamente nel componente Microsoft .NET Framework di Microsoft Windows. Questa vulnerabilità può essere sfruttata solo quando Internet Information Services (IIS) 7.0 è installato e ASP.NET è configurato per l'uso della modalità integrata nelle versioni interessate di Microsoft Windows. Un utente malintenzionato potrebbe creare richieste HTTP anonime appositamente create che potrebbero causare la mancata risposta del server Web interessato fino al riavvio del pool di applicazioni associato. I clienti che eseguono pool di applicazioni IIS 7.0 in modalità classica non sono interessati da questa vulnerabilità.
Questo aggiornamento della sicurezza è valutato Importante per tutte le versioni interessate di Microsoft Windows. Per altre informazioni, vedere la sottosezione, Affected e Non-Affected Software, in questa sezione.
L'aggiornamento della sicurezza risolve la vulnerabilità modificando il modo in cui ASP.NET gestisce la pianificazione delle richieste. Per altre informazioni sulla vulnerabilità, vedere la sottosezione Domande frequenti per la voce di vulnerabilità specifica nella sezione successiva Informazioni sulla vulnerabilità.
Elemento consigliato. La maggior parte dei clienti ha abilitato l'aggiornamento automatico e non dovrà eseguire alcuna azione perché questo aggiornamento della sicurezza verrà scaricato e installato automaticamente. I clienti che non hanno abilitato l'aggiornamento automatico devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871.
Per gli amministratori e le installazioni aziendali o per gli utenti finali che vogliono installare manualmente questo aggiornamento della sicurezza, Microsoft consiglia ai clienti di applicare l'aggiornamento alla prima opportunità usando il software di gestione degli aggiornamenti o controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update .
Vedere anche la sezione Strumenti di rilevamento e distribuzione e indicazioni, più avanti in questo bollettino.
Problemi noti. None
Software interessato e non interessato
Il software seguente è stato testato per determinare quali versioni o edizioni sono interessate. Altre versioni o edizioni superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, visitare supporto tecnico Microsoft Ciclo di vita.
Software interessato
*Poiché IIS 7.0 non viene eseguito in Windows Vista Starter e Windows Vista Home Basic, le edizioni seguenti non sono interessate: Windows Vista Starter (32 bit), Windows Vista Home Basic (32 bit) e Windows Vista Home Basic (64 bit).
**L'installazione dei componenti di base del server di Windows Server 2008 non è interessata. La vulnerabilità risolta da questo aggiornamento non influisce sulle edizioni supportate di Windows Server 2008 se Windows Server 2008 è stato installato usando l'opzione di installazione Server Core. Per altre informazioni su questa opzione di installazione, vedere Server Core. Si noti che l'opzione di installazione Server Core non si applica a determinate edizioni di Windows Server 2008; vedere Confrontare le opzioni di installazione dei componenti di base del server.
Software non interessato
| Sistema operativo |
|---|
| Microsoft Windows 2000 Service Pack 4 |
| Windows XP Service Pack 2 |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 con SP2 per sistemi basati su Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 |
| Windows Server 2008 per sistemi basati su Itanium Service Pack 2 |
| Windows 7 per sistemi a 32 bit |
| Windows 7 per sistemi basati su x64 |
| Windows Server 2008 R2 per sistemi basati su x64 |
| Windows Server 2008 R2 per sistemi basati su Itanium |
Domande frequenti relative a questo aggiornamento della sicurezza
Dove sono i dettagli delle informazioni sul file?
Per informazioni dettagliate sul percorso delle informazioni sui file, vedere le tabelle di riferimento nella sezione Distribuzione aggiornamenti della sicurezza.
Uso una versione precedente del software discussa in questo bollettino sulla sicurezza. Cosa devo fare?
Il software interessato elencato in questo bollettino è stato testato per determinare quali versioni sono interessate. Altre versioni hanno superato il ciclo di vita del supporto. Per determinare il ciclo di vita del supporto per il rilascio del software, visitare supporto tecnico Microsoft Ciclo di vita.
Deve essere una priorità per i clienti che dispongono di versioni precedenti del software per eseguire la migrazione alle versioni supportate per evitare potenziali esposizione alle vulnerabilità. Per altre informazioni sul ciclo di vita del prodotto Windows, visitare supporto tecnico Microsoft Ciclo di vita. Per altre informazioni sul periodo di supporto degli aggiornamenti della sicurezza estesa per queste versioni o edizioni software, visitare Il Servizio Supporto Tecnico Clienti Microsoft.
I clienti che richiedono supporto personalizzato per le versioni precedenti devono contattare il rappresentante del team dell'account Microsoft, il proprio Account Manager tecnico o il rappresentante partner Microsoft appropriato per le opzioni di supporto personalizzate. I clienti senza contratto Alliance, Premier o Authorized possono contattare l'ufficio vendite Microsoft locale. Per informazioni di contatto, visitare Microsoft Worldwide Information, selezionare il paese e quindi fare clic su Vai per visualizzare un elenco di numeri di telefono. Quando chiami, chiedi di parlare con il responsabile vendite premier support locale. Per altre informazioni, vedere Domande frequenti sul ciclo di vita del supporto del prodotto del sistema operativo Windows.
Perché WindowsVistaService Pack 2 e Windows Server 2008 Service Pack 2 non sono interessati?
La correzione per questo problema è già inclusa nelle versioni di Microsoft .NET Framework fornite con Windows Vista Service Pack 2 e Windows Server 2008 Service Pack 2.
Perché Microsoft .NET Framework 3.5 e Microsoft .NET Framework 3.5 Service Pack 1 sono interessati?
Microsoft .NET Framework 3.5 include i sottocomponenti Microsoft .NET Framework 2.0 Service Pack 1 e Microsoft .NET Framework 3.0 Service Pack 1. Microsoft .NET Framework 3.5 Service Pack 1 contiene i sottocomponenti microsoft .NET Framework 2.0 Service Pack 2 e Microsoft .NET Framework 3.0 Service Pack 2. Di conseguenza, microsoft .NET Framework 3.5 e Microsoft .NET Framework 3.5 Service Pack 1 contengono sottocomponenti vulnerabili.
Perché non viene offerto questo aggiornamento della sicurezza tramite l'aggiornamento automatico?
Questo aggiornamento della sicurezza è disponibile solo per i sistemi in cui IIS 7.0 è installato in un sistema operativo elencato nella tabella Software interessato. I sistemi elencati nella sezione Software interessato di questo bollettino, ma in cui IIS 7.0 non è installato, non verranno offerti questo aggiornamento tramite aggiornamento automatico, perché questa vulnerabilità può essere sfruttata solo quando è installato IIS 7.0.
Informazioni sulla vulnerabilità
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio del bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla valutazione della gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di agosto. Per altre informazioni, vedere Microsoft Exploitability Index.
| Software interessato | Vulnerabilità Denial of Service remota non autenticata in ASP.NET - CVE-2009-1536 | Valutazione della gravità aggregata |
|---|---|---|
| Microsoft .NET Framework 2.0 Service Pack 1 e Microsoft .NET Framework 3.5 in Windows Vista e Windows Vista Service Pack 1 | Importante \ Denial of Service | Importante |
| Microsoft .NET Framework 2.0 Service Pack 1 e Microsoft .NET Framework 3.5 in Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1 | Importante \ Denial of Service | Importante |
| Microsoft .NET Framework 2.0 Service Pack 1 e Microsoft .NET Framework 3.5 in Windows Server 2008 | Importante \ Denial of Service | Importante |
| Microsoft .NET Framework 2.0 Service Pack 1 e Microsoft .NET Framework 3.5 in Windows Server 2008 x64 Edition | Importante \ Denial of Service | Importante |
| Microsoft .NET Framework 2.0 Service Pack 1 e Microsoft .NET Framework 3.5 in Windows Server 2008 per sistemi basati su Itanium | Importante \ Denial of Service | Importante |
| Microsoft .NET Framework 2.0 Service Pack 2 e Microsoft .NET Framework 3.5 Service Pack 1 in Windows Vista e Windows Vista Service Pack 1 | Importante \ Denial of Service | Importante |
| Microsoft .NET Framework 2.0 Service Pack 2 e Microsoft .NET Framework 3.5 Service Pack 1 in Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1 | Importante \ Denial of Service | Importante |
| Microsoft .NET Framework 2.0 Service Pack 2 e Microsoft .NET Framework 3.5 Service Pack 1 in Windows Server 2008* | Importante \ Denial of Service | Importante |
| Microsoft .NET Framework 2.0 Service Pack 2 e Microsoft .NET Framework 3.5 Service Pack 1 in Windows Server 2008 x64 Edition* | Importante \ Denial of Service | Importante |
| Microsoft .NET Framework 2.0 Service Pack 2 e Microsoft .NET Framework 3.5 Service Pack 1 nei sistemi basati su Itanium di Windows Server 2008 | Importante \ Denial of Service | Importante |
*L'installazione dei componenti di base del server di Windows Server 2008 non è interessata. La vulnerabilità risolta da questo aggiornamento non influisce sulle edizioni supportate di Windows Server 2008 se Windows Server 2008 è stato installato usando l'opzione di installazione Server Core. Per altre informazioni su questa opzione di installazione, vedere Server Core. Si noti che l'opzione di installazione Server Core non si applica a determinate edizioni di Windows Server 2008; vedere Confrontare le opzioni di installazione dei componenti di base del server.
Vulnerabilità Denial of Service remota non autenticata in ASP.NET - CVE-2009-1536
Esiste una vulnerabilità Denial of Service nel modo in cui ASP.NET gestisce la pianificazione delle richieste. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità creando richieste HTTP anonime appositamente create che causano la mancata risposta del server Web interessato fino al riavvio del pool di applicazioni associato.
Per visualizzare questa vulnerabilità come voce standard nell'elenco Vulnerabilità ed esposizioni comuni, vedere CVE-2009-1536.
Fattori di mitigazione per la vulnerabilità Denial of Service remota non autenticata in ASP.NET - CVE-2009-1536
La mitigazione si riferisce a un'impostazione, a una configurazione comune o a una procedura consigliata generale, esistente in uno stato predefinito, che potrebbe ridurre la gravità dello sfruttamento di una vulnerabilità. I fattori di mitigazione seguenti possono essere utili nella situazione:
- Il codice vulnerabile in Microsoft .NET Framework viene esposto solo tramite IIS 7.0. Per i sistemi che non eseguono IIS 7.0, non esistono vettori di attacco noti per questa vulnerabilità.
- I sistemi che eseguono ASP.NET in IIS 7.0 in modalità classica non sono interessati da questa vulnerabilità.
Soluzioni alternative per la vulnerabilità Denial of Service remota non autenticata in ASP.NET - CVE-2009-1536
Le soluzioni alternative fanno riferimento alle impostazioni o alle modifiche di configurazione che non correggeno la vulnerabilità sottostante, ma consentono di bloccare i vettori di attacco noti prima di applicare l'aggiornamento. Microsoft ha testato le soluzioni alternative e gli stati seguenti nella discussione se una soluzione alternativa riduce le funzionalità:
Passare al pool di thread nativo IIS
Quando ASP.NET 2.0 è ospitato in IIS 7.0 in modalità integrata, ASP.NET gestisce le richieste usando il pool di thread CLR (Common Language Runtime). I sistemi in cui le richieste vengono gestite dal pool di thread nativo IIS 7.0 anziché dal pool di thread CLR non sono interessati da questo problema. Per altre informazioni, vedere l'articolo MSDN . NET: Pool di thread CLR.
Utilizzare uno dei due metodi seguenti per configurare IIS 7.0 per usare il pool di thread nativo per la gestione dei processi.
Metodo 1: specificare il valore per maxConcurrentRequestsPerCPU nel Registro di sistema
Questa impostazione è globale e influisce su tutti i pool di applicazioni. Per configurare questa impostazione per singoli pool di applicazioni, fare riferimento al metodo 2 in questa sezione.
Avviso Uso non corretto dell'editor del Registro di sistema può causare gravi problemi che potrebbero richiedere di reinstallare il sistema operativo. Microsoft non garantisce che i problemi dovuti all'utilizzo errato dell'Editor del Registro di sistema possano essere risolti. Utilizzare l'editor del Registro di sistema a proprio rischio. Per informazioni su come modificare il Registro di sistema, visualizzare l'argomento della Guida "Modifica chiavi e valori" nell'editor del Registro di sistema (Regedit.exe) o visualizzare gli argomenti della Guida "Aggiungi ed Elimina informazioni nel Registro di sistema" e "Modifica dati del Registro di sistema" in Regedt32.exe.
Nota È consigliabile eseguire il backup del Registro di sistema prima di modificarlo.
- Fare clic su Start, scegliere Esegui, digitare Regedit nella casella Apri e quindi fare clic su OK.
- Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ASP.NET\2.0.50727.0 - Scegliere Nuovo dal menu Modifica e quindi fare clic su Chiave.
- Digitare maxConcurrentRequestsPerCPU e quindi premere INVIO.
- Fare clic sul tasto maxConcurrentRequestsPerCPU .
- Scegliere Nuovo dal menu Modifica e quindi fare clic su DWORD.
- Digitare maxConcurrentRequestsPerCPU e quindi premere INVIO.
- Scegliere Modifica dal menu Modifica per modificare la voce del Registro di sistema maxConcurrentRequestsPerCPU.
- Nella casella Dati valore digitare 0 e quindi fare clic su OK.
- Chiudere l'editor del Registro di sistema.
- Utilizzare iisreset.exe per riavviare Microsoft Internet Information Services (IIS) nel server Web che ospita l'applicazione eseguendo il comando seguente in una riga di comando:
iisreset /restart
Specificare il valore per maxConcurrentRequestsPerCPUvia . File REG
Editor del Registro di sistema di Windows versione 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ASP.NET\2.0.50727.0]
"MaxConcurrentRequestsPerCPU"=dword:0000000000È possibile applicare questo file .reg ai singoli sistemi facendo doppio clic su di esso. È anche possibile applicarlo tra domini usando Criteri di gruppo. Per altre informazioni su Criteri di gruppo, visitare i siti Web Microsoft seguenti:
Raccolta di Criteri di gruppo
Che cos'è Editor oggetti Criteri di gruppo?
Impostazioni e strumenti di Criteri di gruppo di baseImpatto della soluzione alternativa. A seconda della natura delle applicazioni in esecuzione in questo pool di applicazioni, le prestazioni dell'applicazione potrebbero essere influenzate.
Come annullare la soluzione alternativa.
Annullamento manuale della soluzione alternativa
- Fare clic su Start, scegliere Esegui, digitare Regedit nella casella Apri e quindi fare clic su OK. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ASP.NET\2.0.50727.0\maxConcurrentRequestsPerCPU - Fare clic con il pulsante destro del mouse sulla sottochiave maxConcurrentRequestsPerCPU , scegliere Elimina e quindi fare clic su Sì.
- Uscire dall'editor del Registro di sistema. Utilizzare Iisreset.exe per riavviare Microsoft Internet Information Services (IIS) nel server Web che ospita l'applicazione eseguendo il comando seguente da una riga di comando:
iisreset /restart
Annullamento della soluzione alternativa tramite un oggetto . File REG
Versione 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ASP.NET\2.0.50727.0]
"MaxConcurrentRequestsPerCPU"=dword:0000000000È possibile applicare questo file .reg ai singoli sistemi facendo doppio clic su di esso. È anche possibile applicarlo tra domini usando Criteri di gruppo. Per altre informazioni su Criteri di gruppo, visitare i siti Web Microsoft seguenti:
Raccolta di Criteri di gruppo
Che cos'è Editor oggetti Criteri di gruppo?
Impostazioni e strumenti di Criteri di gruppo di baseMetodo 2: specificare il valore per maxConcurrentRequestsPerCPU per un pool di applicazioni nella sezione di configurazione ASP.NET di un ASPNET. File di configurazione
Nota Questa soluzione alternativa si applica solo ai sistemi in cui è in esecuzione Microsoft .NET Framework 2.0 SP2 o Microsoft .NET Framework 3.5 SP1. Le versioni precedenti di Microsoft .NET Framework non leggono aspnet.config per queste informazioni. Questo valore esegue l'override del valore specificato per maxConcurrentRequestsPerCPU nel Registro di sistema.
Nota Per annullare questa soluzione alternativa, è necessario ripristinare la versione originale del file aspnet.config. Prima di modificare questo file, creare un backup.
Aprire il file aspnet.config per il pool di applicazioni e quindi immettere nuovi valori per il parametro maxConcurrentRequestsPerCPU come indicato di seguito:
<system.web>
<applicationPool maxConcurrentRequestsPerCPU="0"/>
</system.web>Impatto della soluzione alternativa. A seconda della natura delle applicazioni in esecuzione in questo pool di applicazioni, le prestazioni dell'applicazione potrebbero essere influenzate.
Come annullare la soluzione alternativa. Ripristinare la versione originale del file aspnet.config.
Domande frequenti sulla vulnerabilità Denial of Service remota non autenticata in ASP.NET - CVE-2009-1536
Qual è l'ambito della vulnerabilità?
Si tratta di una vulnerabilità Denial of Service che potrebbe consentire a un utente malintenzionato di causare la mancata risposta di un server Web.
Che cosa causa la vulnerabilità?
Questa vulnerabilità è causata da ASP.NET gestione errata della pianificazione delle richieste.
Cosa può fare un utente malintenzionato che usa la vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe causare il riavvio del pool di applicazioni nel server Web interessato fino al riavvio del pool di applicazioni. Di conseguenza, le pagine Web che usano ASP.NET nello stesso pool di applicazioni non sarebbero più raggiungibili e restituivano un errore HTTP.
Tutte le non-ASP.NET funzionalità del server non sono interessate quando un server è vulnerabile a questo problema e viene attaccato. Ad esempio, le pagine HTML continueranno a essere caricate normalmente.
Si tratta di una vulnerabilità Denial of Service a livello di applicazione. Per eseguire il ripristino da un attacco riuscito, è necessario reimpostare IIS o riciclare il pool di applicazioni interessato, ma non è necessario riavviare il sistema operativo del server.
Che cos'è ASP.NET?
ASP.NET è una raccolta di tecnologie all'interno di Microsoft .NET Framework che consentono agli sviluppatori di creare applicazioni Web e servizi Web XML.
A differenza delle pagine Web tradizionali, che usano una combinazione di HTML statico e scripting, ASP.NET usa pagine compilate basate su eventi. Poiché ASP.NET è un ambiente applicativo basato sul Web, che richiede un server Web sottostante per fornire funzionalità HTTP di base, ASP.NET viene eseguito su Internet Information Services (IIS). Per altre informazioni, vedere Sito ufficiale di Microsoft ASP.NET.
Qual è la differenza tra la modalità integrata e la modalità classica in IIS 7.0?
In IIS 7.0 ogni sito Web ospitato nel server può essere eseguito in modalità integrata o in modalità classica. La modalità integrata è la modalità predefinita in IIS 7.0 e offre un controllo più granulare sul processo di richiesta. La modalità classica ripristina il comportamento di IIS 6.0 quando la modalità integrata non era ancora disponibile. Per altre informazioni, vedere How to Advantage of the IIS 7.0 Integrated Pipeline.For more information, see How to Advantage of the IIS 7.0 Integrated Pipeline.
Che cos'è un pool di applicazioni?
In IIS 7.0 un pool di applicazioni è un gruppo di uno o più URL gestiti da un processo di lavoro o da un set di processi di lavoro. I pool di applicazioni impostano limiti per le applicazioni che contengono, il che significa che tutte le applicazioni in esecuzione all'esterno di un determinato pool di applicazioni non possono influire sulle applicazioni in esecuzione all'interno di tale pool di applicazioni. Per altre informazioni, vedere IIS 7.0: Gestione dei pool di applicazioni in IIS 7.0.
In che modo un utente malintenzionato potrebbe sfruttare la vulnerabilità?
Un utente malintenzionato potrebbe sfruttare questa vulnerabilità creando una serie appositamente creata di richieste HTTP anonime a un sistema interessato e, di conseguenza, il server Web in esecuzione in questo sistema diventa non reattivo.
Quali sistemi sono principalmente a rischio dalla vulnerabilità?
I server in cui ASP 2.0 è ospitato in IIS 7.0 in modalità integrata sono a rischio.
Cosa fa l'aggiornamento?
L'aggiornamento modifica il modo in cui ASP.NET gestisce la pianificazione delle richieste.
Quando è stato pubblicato questo bollettino sulla sicurezza, questa vulnerabilità è stata divulgata pubblicamente?
No. Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione responsabile. Microsoft non aveva ricevuto alcuna informazione per indicare che questa vulnerabilità era stata divulgata pubblicamente quando questo bollettino sulla sicurezza è stato originariamente pubblicato.
Quando è stato emesso questo bollettino sulla sicurezza, Microsoft ha ricevuto eventuali segnalazioni che questa vulnerabilità è stata sfruttata?
Sì. Microsoft è a conoscenza di attacchi mirati limitati che tentano di sfruttare la vulnerabilità segnalata.
Aggiorna informazioni
Strumenti e linee guida per il rilevamento e la distribuzione
Gestire gli aggiornamenti software e della sicurezza necessari per la distribuzione nei server, nei sistemi desktop e mobili dell'organizzazione. Per altre informazioni, vedere TechNet Update Management Center. Il sito Web Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Gli aggiornamenti della sicurezza sono disponibili in Microsoft Update e Windows Update. Gli aggiornamenti della sicurezza sono disponibili anche nell'Area download Microsoft. È possibile trovarli più facilmente eseguendo una ricerca di parole chiave per "aggiornamento della sicurezza".
Infine, è possibile scaricare gli aggiornamenti della sicurezza dal Catalogo di Microsoft Update. Microsoft Update Catalog fornisce un catalogo ricercabile di contenuto reso disponibile tramite Windows Update e Microsoft Update, inclusi gli aggiornamenti della sicurezza, i driver e i Service Pack. Eseguendo una ricerca usando il numero di bollettino di sicurezza (ad esempio, "MS07-036"), è possibile aggiungere tutti gli aggiornamenti applicabili al carrello (incluse lingue diverse per un aggiornamento) e scaricare nella cartella di propria scelta. Per altre informazioni sul catalogo di Microsoft Update, vedere domande frequenti sul catalogo di Microsoft Update.
Nota A partire dal 1° agosto 2009, Microsoft interromperà il supporto per Office Update e Office Update Inventory Tool. Per continuare a ottenere gli aggiornamenti più recenti per i prodotti Microsoft Office, usare Microsoft Update. Per altre informazioni, vedere Informazioni su Microsoft Office Update: Domande frequenti.
Linee guida per il rilevamento e la distribuzione
Microsoft fornisce indicazioni per il rilevamento e la distribuzione per gli aggiornamenti della sicurezza. Queste indicazioni contengono raccomandazioni e informazioni che consentono ai professionisti IT di comprendere come usare vari strumenti per il rilevamento e la distribuzione degli aggiornamenti della sicurezza. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 961747.
Microsoft Baseline Security Analyzer
Microsoft Baseline Security Analyzer (MBSA) consente agli amministratori di analizzare i sistemi locali e remoti per individuare gli aggiornamenti della sicurezza mancanti e le configurazioni comuni della sicurezza. Per altre informazioni su MBSA, vedere Microsoft Baseline Security Analyzer.
Nella tabella seguente viene fornito il riepilogo del rilevamento MBSA per questo aggiornamento della sicurezza.
| Software | MBSA 2.1 |
|---|---|
| Windows Vista e Windows Vista Service Pack 1 | Sì |
| Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1 | Sì |
| Windows Server 2008 per sistemi a 32 bit | Sì |
| Windows Server 2008 per sistemi basati su x64 | Sì |
| Windows Server 2008 per sistemi basati su Itanium | Sì |
Per altre informazioni su MBSA 2.1, vedere Domande frequenti su MBSA 2.1.
Windows Server Update Services
Utilizzando Windows Server Update Services (WSUS), gli amministratori possono distribuire gli aggiornamenti critici e gli aggiornamenti della sicurezza più recenti per i sistemi operativi Windows 2000 e versioni successive, Office XP e versioni successive, Exchange Server 2003 e SQL Server 2000. Per altre informazioni su come distribuire questo aggiornamento della sicurezza con Windows Server Update Services, visitare il sito Web di Windows Server Update Services.
Server di gestione dei sistemi
La tabella seguente fornisce il riepilogo di rilevamento e distribuzione SMS per questo aggiornamento della sicurezza.
| Software | SMS 2.0 | SMS 2003 con SUIT | SMS 2003 con ITMU | Configuration Manager 2007 |
|---|---|---|---|---|
| Windows Vista e Windows Vista Service Pack 1 | No | No | Sì* | Sì |
| Windows Vista x64 Edition e Windows Vista x64 Edition Service Pack 1 | No | No | Sì* | Sì |
| Windows Server 2008 per sistemi a 32 bit | No | No | Sì* | Sì |
| Windows Server 2008 per sistemi basati su x64 | No | No | Sì* | Sì |
| Windows Server 2008 per sistemi basati su Itanium | No | No | Sì* | Sì |
Per SMS 2.0 e SMS 2003, lo strumento di inventario aggiornamenti della sicurezza (SUIT) può essere usato da SMS per rilevare gli aggiornamenti della sicurezza. Vedere anche Download per Systems Management Server 2.0.
Per SMS 2003, lo strumento di inventario SMS 2003 per Microsoft Aggiornamenti (ITMU) può essere usato da SMS per rilevare gli aggiornamenti della sicurezza offerti da Microsoft Update e supportati da Windows Server Update Services. Per altre informazioni su SMS 2003 ITMU, vedere SMS 2003 Inventory Tool for Microsoft Aggiornamenti. Per altre informazioni sugli strumenti di analisi SMS, vedere SMS 2003 Software Update Scanning Tools. Vedere anche Download per Systems Management Server 2003.
System Center Configuration Manager 2007 usa WSUS 3.0 per il rilevamento degli aggiornamenti. Per altre informazioni su Configuration Manager 2007 Software Update Management, visitare System Center Configuration Manager 2007.
* Nota per Windows Vista e Windows Server 2008 Microsoft Systems Management Server 2003 con Service Pack 3 include il supporto per la gestibilità di Windows Vista e Windows Server 2008.
Per altre informazioni sugli SMS, visitare il sito Web SMS.
Per informazioni più dettagliate, vedere l'articolo della Microsoft Knowledge Base 910723"Elenco riepilogo degli articoli sulle linee guida per il rilevamento e la distribuzione mensili".
Analizzatore di compatibilità degli aggiornamenti e Application Compatibility Toolkit
Aggiornamenti spesso scrivere negli stessi file e nelle stesse impostazioni del Registro di sistema necessarie per l'esecuzione delle applicazioni. Ciò può attivare incompatibilità e aumentare il tempo necessario per distribuire gli aggiornamenti della sicurezza. È possibile semplificare i test e convalidare gli aggiornamenti di Windows nelle applicazioni installate con i componenti dell'analizzatore di compatibilità degli aggiornamenti inclusi in Application Compatibility Toolkit.
Application Compatibility Toolkit (ACT) contiene gli strumenti e la documentazione necessari per valutare e attenuare i problemi di compatibilità delle applicazioni prima di distribuire Microsoft Windows Vista, Windows Update, Microsoft Security Update o una nuova versione di Windows Internet Explorer nell'ambiente in uso.
Distribuzione degli aggiornamenti della sicurezza
Software interessato
Per informazioni sull'aggiornamento della sicurezza specifico per il software interessato, fare clic sul collegamento appropriato:
Windows Vista (tutte le edizioni)
Tabella di riferimento
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software. In questa sezione sono disponibili informazioni aggiuntive nella sottosezione Informazioni sulla distribuzione.
| Inclusione nei Service Pack futuri | L'aggiornamento per questo problema verrà incluso in un Service Pack futuro o un aggiornamento cumulativo |
|---|---|
| Distribuzione | |
| Installazione senza intervento dell'utente | Per Microsoft .NET Framework 2.0 Service Pack 1 o Microsoft .NET Framework 3.5 in Windows Vista:\ Windows6.0-KB972591-x86 /quiet |
| Per Microsoft .NET Framework 2.0 Service Pack 2 o Microsoft .NET Framework 3.5 Service Pack 1 in Windows Vista:\ Windows6.0-KB972592-x86 /quiet | |
| Per Microsoft .NET Framework 2.0 Service Pack 1 o Microsoft .NET Framework 3.5 in Windows Vista Service Pack 1:\ Windows6.0-KB972593-x86 /quiet | |
| Per Microsoft .NET Framework 2.0 Service Pack 2 o Microsoft .NET Framework 3.5 Service Pack 1 in Windows Vista Service Pack 1:\ Windows6.0-KB972594-x86 /quiet | |
| Per Microsoft .NET Framework 2.0 Service Pack 1 o Microsoft .NET Framework 3.5 in Windows Vista x64 Edition:\ Windows6.0-KB972591-x64 /quiet | |
| Per Microsoft .NET Framework 2.0 Service Pack 2 o Microsoft .NET Framework 3.5 Service Pack 1 in Windows Vista x64 Edition:\ Windows6.0-KB972592-x64 /quiet | |
| Per Microsoft .NET Framework 2.0 Service Pack 1 o Microsoft .NET Framework 3.5 in Windows Vista x64 Edition Service Pack 1:\ Windows6.0-KB972593-x64 /quiet | |
| Per Microsoft .NET Framework 2.0 Service Pack 2 o Microsoft .NET Framework 3.5 Service Pack 1 in Windows Vista x64 Edition Service Pack 1:\ Windows6.0-KB972594-x64 /quiet | |
| Installazione senza riavvio | Per Microsoft .NET Framework 2.0 Service Pack 1 o Microsoft .NET Framework 3.5 in Windows Vista:\ Windows6.0-KB972591-x86 /quiet /norestart |
| Per Microsoft .NET Framework 2.0 Service Pack 2 o Microsoft .NET Framework 3.5 Service Pack 1 in Windows Vista:\ Windows6.0-KB972592-x86 /quiet /norestart | |
| Per Microsoft .NET Framework 2.0 Service Pack 1 o Microsoft .NET Framework 3.5 in Windows Vista Service Pack 1:\ Windows6.0-KB972593-x86 /quiet /norestart | |
| Per Microsoft .NET Framework 2.0 Service Pack 2 o Microsoft .NET Framework 3.5 Service Pack 1 in Windows Vista Service Pack 1:\ Windows6.0-KB972594-x86 /quiet /norestart | |
| Per Microsoft .NET Framework 2.0 Service Pack 1 o Microsoft .NET Framework 3.5 in Windows Vista x64 Edition:\ Windows6.0-KB972591-x64 /quiet /norestart | |
| Per Microsoft .NET Framework 2.0 Service Pack 2 o Microsoft .NET Framework 3.5 Service Pack 1 in Windows Vista x64 Edition:\ Windows6.0-KB972592-x64 /quiet /norestart | |
| Per Microsoft .NET Framework 2.0 Service Pack 1 o Microsoft .NET Framework 3.5 in Windows Vista x64 Edition Service Pack 1:\ Windows6.0-KB972593-x64 /quiet /norestart | |
| Per Microsoft .NET Framework 2.0 Service Pack 2 o Microsoft .NET Framework 3.5 Service Pack 1 in Windows Vista x64 Edition Service Pack 1:\ Windows6.0-KB972594-x64 /quiet /norestart | |
| Ulteriori informazioni | Vedere la sottosezione, gli strumenti di rilevamento e distribuzione e le linee guida |
| Requisito di riavvio | |
| Riavvio obbligatorio? | Questo aggiornamento non richiede un riavvio. Il programma di installazione arresta i servizi necessari, applica l'aggiornamento e quindi riavvia i servizi. Tuttavia, se i servizi necessari non possono essere arrestati per qualsiasi motivo o se vengono usati i file necessari, questo aggiornamento richiederà un riavvio. Se si verifica questo comportamento, viene visualizzato un messaggio che indica di riavviare. |
| HotPatching | Non applicabile. |
| Informazioni sulla rimozione | WUSA.exe non supporta la disinstallazione degli aggiornamenti. Per disinstallare un aggiornamento installato da WUSA, fare clic su Pannello di controllo e quindi su Sicurezza. In Windows Update fare clic su Visualizza aggiornamenti installati e selezionare dall'elenco degli aggiornamenti. |
| Informazioni sui file | Vedere l'articolo della Microsoft Knowledge Base 970957 |
| Verifica della chiave del Registro di sistema | Nota Una chiave del Registro di sistema non esiste per convalidare la presenza di questo aggiornamento. |
Informazioni sulla distribuzione
Installazione dell'aggiornamento
Quando si installa questo aggiornamento della sicurezza, il programma di installazione verifica se uno o più file aggiornati nel sistema sono stati aggiornati in precedenza da un hotfix Microsoft.
Per altre informazioni sulla terminologia visualizzata in questo bollettino, ad esempio l'hotfix, vedere l'articolo della Microsoft Knowledge Base 824684.
Questo aggiornamento della sicurezza supporta le opzioni di installazione seguenti.
| Switch | Descrizione |
|---|---|
| /?, /h, /help | Visualizza la Guida sulle opzioni supportate. |
| /quiet | Elimina la visualizzazione di messaggi di stato o di errore. |
| /norestart | Se combinato con /quiet, il sistema non verrà riavviato dopo l'installazione anche se è necessario un riavvio per completare l'installazione. |
Nota Per altre informazioni sul programma di installazione di wusa.exe, vedere l'articolo della Microsoft Knowledge Base 934307.
Verifica dell'applicazione dell'aggiornamento
Microsoft Baseline Security Analyzer
Per verificare che un aggiornamento della sicurezza sia stato applicato a un sistema interessato, è possibile usare lo strumento Microsoft Baseline Security Analyzer (MBSA). Per altre informazioni, vedere la sezione Strumenti di rilevamento e distribuzione e linee guida, più indietro in questo bollettino.Verifica della versione dei file
Poiché esistono diverse edizioni di Microsoft Windows, i passaggi seguenti possono essere diversi nel sistema. In caso affermativo, vedere la documentazione del prodotto per completare questi passaggi.- Fare clic su Start e quindi immettere un nome di file di aggiornamento in Avvia ricerca.
- Quando il file viene visualizzato in Programmi, fare clic con il pulsante destro del mouse sul nome del file e scegliere Proprietà.
- Nella scheda Generale confrontare le dimensioni del file con le tabelle di informazioni sui file fornite nell'articolo della Knowledge Base del bollettino.
- È anche possibile fare clic sulla scheda Dettagli e confrontare le informazioni, ad esempio la versione del file e la data modificate, con le tabelle di informazioni sui file fornite nell'articolo della Knowledge Base del bollettino.
- Infine, è anche possibile fare clic sulla scheda Versioni precedenti e confrontare le informazioni sul file per la versione precedente del file con le informazioni sul file per la versione nuova o aggiornata del file.
Windows Server 2008 (tutte le edizioni)
Tabella di riferimento
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software. In questa sezione sono disponibili informazioni aggiuntive nella sottosezione Informazioni sulla distribuzione.
| Inclusione nei Service Pack futuri | L'aggiornamento per questo problema verrà incluso in un Service Pack futuro o un aggiornamento cumulativo |
|---|---|
| Distribuzione | |
| Installazione senza intervento dell'utente | Per Microsoft .NET Framework 2.0 Service Pack 1 o Microsoft .NET Framework 3.5 in Windows Server 2008 per sistemi a 32 bit:\ Windows6.0-KB972593-x86 /quiet |
| Per Microsoft .NET Framework 2.0 Service Pack 2 o Microsoft .NET Framework 3.5 Service Pack 1 in Windows Server 2008 per sistemi a 32 bit:\ Windows6.0-KB972594-x86 /quiet | |
| Per Microsoft .NET Framework 2.0 Service Pack 1 o Microsoft .NET Framework 3.5 in Windows Server 2008 per sistemi basati su x64:\ Windows6.0-KB972593-x64 /quiet | |
| Per Microsoft .NET Framework 2.0 Service Pack 2 o Microsoft .NET Framework 3.5 Service Pack 1 in Windows Server 2008 per sistemi basati su x64:\ Windows6.0-KB972594-x64 /quiet | |
| Per Microsoft .NET Framework 2.0 Service Pack 1 o Microsoft .NET Framework 3.5 in Windows Server 2008 per sistemi basati su Itanium:\ Windows6.0-KB972593-ia64 /quiet | |
| Per Microsoft .NET Framework 2.0 Service Pack 2 o Microsoft .NET Framework 3.5 Service Pack 1 in Windows Server 2008 per sistemi basati su Itanium:\ Windows6.0-KB972594-ia64 /quiet | |
| Installazione senza riavvio | Per Microsoft .NET Framework 2.0 Service Pack 1 o Microsoft .NET Framework 3.5 in Windows Server 2008 per sistemi a 32 bit:\ Windows6.0-KB972593-x86 /quiet /norestart |
| Per Microsoft .NET Framework 2.0 Service Pack 2 o Microsoft .NET Framework 3.5 Service Pack 1 in Windows Server 2008 per sistemi a 32 bit:\ Windows6.0-KB972594-x86 /quiet /norestart | |
| Per Microsoft .NET Framework 2.0 Service Pack 1 o Microsoft .NET Framework 3.5 in Windows Server 2008 per sistemi basati su x64:\ Windows6.0-KB972593-x64 /quiet /norestart | |
| Per Microsoft .NET Framework 2.0 Service Pack 2 o Microsoft .NET Framework 3.5 Service Pack 1 in Windows Server 2008 per sistemi basati su x64:\ Windows6.0-KB972594-x64 /quiet /norestart | |
| Per Microsoft .NET Framework 2.0 Service Pack 1 o Microsoft .NET Framework 3.5 in Windows Server 2008 per sistemi basati su Itanium:\ Windows6.0-KB972593-ia64 /quiet /norestart | |
| Per Microsoft .NET Framework 2.0 Service Pack 2 o Microsoft .NET Framework 3.5 Service Pack 1 in Windows Server 2008 per sistemi basati su Itanium:\ Windows6.0-KB972594-ia64 /quiet /norestart | |
| Ulteriori informazioni | Vedere la sottosezione, gli strumenti di rilevamento e distribuzione e le linee guida |
| Requisito di riavvio | |
| Riavvio obbligatorio? | Questo aggiornamento non richiede un riavvio. Il programma di installazione arresta i servizi necessari, applica l'aggiornamento e quindi riavvia i servizi. Tuttavia, se i servizi necessari non possono essere arrestati per qualsiasi motivo o se vengono usati i file necessari, questo aggiornamento richiederà un riavvio. Se si verifica questo comportamento, viene visualizzato un messaggio che indica di riavviare. |
| HotPatching | Non applicabile. |
| Informazioni sulla rimozione | WUSA.exe non supporta la disinstallazione degli aggiornamenti. Per disinstallare un aggiornamento installato da WUSA, fare clic su Pannello di controllo e quindi su Sicurezza. In Windows Update fare clic su Visualizza aggiornamenti installati e selezionare dall'elenco degli aggiornamenti. |
| Informazioni sui file | Vedere l'articolo della Microsoft Knowledge Base 970957 |
| Verifica della chiave del Registro di sistema | Nota Una chiave del Registro di sistema non esiste per convalidare la presenza di questo aggiornamento. |
Informazioni sulla distribuzione
Installazione dell'aggiornamento
Quando si installa questo aggiornamento della sicurezza, il programma di installazione verifica se uno o più file aggiornati nel sistema sono stati aggiornati in precedenza da un hotfix Microsoft.
Per altre informazioni sulla terminologia visualizzata in questo bollettino, ad esempio l'hotfix, vedere l'articolo della Microsoft Knowledge Base 824684.
Questo aggiornamento della sicurezza supporta le opzioni di installazione seguenti.
| Switch | Descrizione |
|---|---|
| /?, /h, /help | Visualizza la Guida sulle opzioni supportate. |
| /quiet | Elimina la visualizzazione di messaggi di stato o di errore. |
| /norestart | Se combinato con /quiet, il sistema non verrà riavviato dopo l'installazione anche se è necessario un riavvio per completare l'installazione. |
Nota Per altre informazioni sul programma di installazione di wusa.exe, vedere l'articolo della Microsoft Knowledge Base 934307.
Verifica dell'applicazione dell'aggiornamento
Microsoft Baseline Security Analyzer
Per verificare che un aggiornamento della sicurezza sia stato applicato a un sistema interessato, è possibile usare lo strumento Microsoft Baseline Security Analyzer (MBSA). Per altre informazioni, vedere la sezione Strumenti di rilevamento e distribuzione e linee guida, più indietro in questo bollettino.Verifica della versione dei file
Poiché esistono diverse edizioni di Microsoft Windows, i passaggi seguenti possono essere diversi nel sistema. In caso affermativo, vedere la documentazione del prodotto per completare questi passaggi.- Fare clic su Start e quindi immettere un nome di file di aggiornamento in Avvia ricerca.
- Quando il file viene visualizzato in Programmi, fare clic con il pulsante destro del mouse sul nome del file e scegliere Proprietà.
- Nella scheda Generale confrontare le dimensioni del file con le tabelle di informazioni sui file fornite nell'articolo della Knowledge Base del bollettino.
- È anche possibile fare clic sulla scheda Dettagli e confrontare le informazioni, ad esempio la versione del file e la data modificate, con le tabelle di informazioni sui file fornite nell'articolo della Knowledge Base del bollettino.
- Infine, è anche possibile fare clic sulla scheda Versioni precedenti e confrontare le informazioni sul file per la versione precedente del file con le informazioni sul file per la versione nuova o aggiornata del file.
Altre informazioni
Riconoscimenti
Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:
- Alexander Pfandt di Digitaria per la segnalazione della vulnerabilità Denial of Service remota non autenticata in ASP.NET (CVE-2009-1536)
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web delle protezioni attive forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Supporto tecnico
- I clienti negli Stati Uniti e in Canada possono ricevere supporto tecnico dal supporto per la sicurezza o da 1-866-PCSAFETY. Non sono previsti addebiti per le chiamate di supporto associate agli aggiornamenti della sicurezza. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Non è previsto alcun addebito per il supporto associato agli aggiornamenti della sicurezza. Per altre informazioni su come contattare Microsoft per i problemi di supporto, visitare il sito Web del supporto internazionale.
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (11 agosto 2009): Bollettino pubblicato.
- V1.1 (13 agosto 2009): chiarita in Domande frequenti correlate a questo aggiornamento della sicurezza che questo aggiornamento della sicurezza verrà offerto solo quando è installato IIS 7.0. Sono state aggiunte informazioni alle domande frequenti su Denial of Service non autenticato remoto in ASP.NET vulnerabilità - CVE-2009-1536 sulla differenza tra la modalità integrata e la modalità classica in IIS 7.0. Si tratta solo di una modifica informativa. I clienti che hanno installato correttamente questo aggiornamento non devono reinstallare.
Costruito al 2014-04-18T13:49:36Z-07:00