Bollettino sulla sicurezza
Microsoft Security Bulletin MS10-070 - Importante
La vulnerabilità in ASP.NET potrebbe consentire la divulgazione di informazioni (2418042)
Pubblicato: 28 settembre 2010 | Aggiornamento: 26 ottobre 2011
Versione: 4.2
Informazioni generali
Schema riepilogativo
Questo aggiornamento della sicurezza risolve una vulnerabilità divulgata pubblicamente in ASP.NET. La vulnerabilità potrebbe consentire la divulgazione di informazioni. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe leggere i dati, ad esempio lo stato di visualizzazione, crittografato dal server. Questa vulnerabilità può essere usata anche per manomettere i dati, che, se sfruttati correttamente, possono essere usati per decrittografare e manomettere i dati crittografati dal server. Le versioni di Microsoft .NET Framework precedenti a Microsoft .NET Framework 3.5 Service Pack 1 non sono interessate dalla parte di divulgazione del contenuto dei file di questa vulnerabilità.
Questo aggiornamento della sicurezza è valutato Importante per tutte le edizioni supportate di ASP.NET ad eccezione di Microsoft .NET Framework 1.0 Service Pack 3. Per altre informazioni, vedere la sottosezione, Affected e Non-Affected Software, in questa sezione.
L'aggiornamento della sicurezza risolve la vulnerabilità firmando anche tutti i dati crittografati da ASP.NET. Per altre informazioni sulla vulnerabilità, vedere la sottosezione Domande frequenti per la voce di vulnerabilità specifica nella sezione successiva Informazioni sulla vulnerabilità.
Questo aggiornamento della sicurezza risolve anche la vulnerabilità descritta in Microsoft Security Advisory 2416728.
Elemento consigliato. Microsoft consiglia ai clienti di applicare l'aggiornamento alla prima opportunità.
Vedere anche la sezione Strumenti di rilevamento e distribuzione e indicazioni, più avanti in questo bollettino.
Problemi noti.L'articolo della Microsoft Knowledge Base 2418042 documenta i problemi attualmente noti che i clienti potrebbero riscontrare durante l'installazione di questo aggiornamento della sicurezza. L'articolo illustra anche le soluzioni consigliate per questi problemi.
Software interessato e non interessato
Il software seguente è stato testato per determinare quali versioni o edizioni sono interessate. Altre versioni o edizioni superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, visitare supporto tecnico Microsoft Ciclo di vita.
Software interessato
*Installazione dei componenti di base del server interessata. Questo aggiornamento si applica, con la stessa classificazione di gravità, alle edizioni supportate di Windows Server 2008 R2 come indicato, indipendentemente dal fatto che sia installata o meno usando l'opzione di installazione Server Core. Per altre informazioni su questa opzione di installazione, vedere gli articoli TechNet Gestione di un'installazione dei componenti di base del server e manutenzione di un'installazione dei componenti di base del server. Si noti che l'opzione di installazione Server Core non si applica a determinate edizioni di Windows Server 2008 e Windows Server 2008 R2; vedere Confrontare le opzioni di installazione dei componenti di base del server.
**Installazione dei componenti di base del server non interessata. Le vulnerabilità risolte da questo aggiornamento non influiscono sulle edizioni supportate di Windows Server 2008, come indicato, quando vengono installate usando l'opzione di installazione Server Core. Per altre informazioni su questa opzione di installazione, vedere gli articoli TechNet Gestione di un'installazione dei componenti di base del server e manutenzione di un'installazione dei componenti di base del server. Si noti che l'opzione di installazione Server Core non si applica a determinate edizioni di Windows Server 2008 e Windows Server 2008 R2; vedere Confrontare le opzioni di installazione dei componenti di base del server.
[1]. Profilo client di NET Framework 4.0 non interessato. I pacchetti ridistribuibili di .NET Framework versione 4 sono disponibili in due profili: .NET Framework 4.0 e .NET Framework 4.0 Client Profile. .NET Framework 4.0 Client Profile è un subset di .NET Framework 4.0. La vulnerabilità risolta in questo aggiornamento interessa solo .NET Framework 4.0 e non il profilo client di .NET Framework 4.0. Per altre informazioni, vedere: Installazione di .NET Framework.
Software non interessato
Sistema operativo | Componente |
---|---|
Microsoft .NET Framework 1.0 Service Pack 3 | |
Windows XP Service Pack 3 | Microsoft .NET Framework 1.0 Service Pack 3 (solo Windows XP Media Center Edition 2005 e Windows XP Tablet PC Edition 2005) |
Microsoft .NET Framework 3.5.1 | |
Windows 7 per sistemi a 32 bit Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows 7 per sistemi basati su x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Domande frequenti relative a questo aggiornamento della sicurezza
Perché questo bollettino è stato rivisto il 22 febbraio 2011?
Microsoft ha rivisto questo bollettino sulla sicurezza per annunciare una modifica al rilevamento per offrire i pacchetti di aggiornamento di Microsoft .NET Framework 4.0 (KB2416472) ai sistemi che eseguono Windows 7 per sistemi a 32 bit Service Pack 1, Windows 7 per sistemi basati su x64 Service Pack 1, Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 e Windows Server 2008 R2 per Sistemi basati su Itanium Service Pack 1. Questa modifica di rilevamento si applica solo ai clienti che installano Microsoft .NET Framework 4.0 dopo l'installazione di Windows 7 per sistemi a 32 bit Service Pack 1, Windows 7 per sistemi basati su x64 Service Pack 1, Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 o Windows Server 2008 R2 per Sistemi basati su Itanium Service Pack 1. I clienti che hanno già aggiornato correttamente i propri sistemi non devono eseguire alcuna azione.
Perché questo bollettino è stato rivisto il 14 dicembre 2010?
Questo bollettino sulla sicurezza è stato modificato da Microsoft per annunciare che sono disponibili nuovi pacchetti di aggiornamento per Microsoft .NET Framework 4.0 (KB2416472). Questi nuovi pacchetti correggevano un problema nell'installazione che poteva interferire con l'installazione corretta di altri aggiornamenti. Per i clienti che possono avere un'installazione di un altro prodotto o di un altro aggiornamento che potrebbero essere stati interessati da questo problema, vedere l'articolo della Microsoft Knowledge Base 2473228 per ulteriori informazioni. I clienti che hanno già aggiornato correttamente i propri sistemi non devono eseguire alcuna azione.
È installato .NET Framework 3.0 Service Pack 2; questa versione non è elencata tra il software interessato in questo bollettino. È necessario installare un aggiornamento?
Questo bollettino descrive una vulnerabilità nei livelli di funzionalità di .NET Framework 2.0 e .NET Framework 3.5. Il programma di installazione di .NET Framework 3.0 Service Pack 2 si concatena nel programma di installazione di .NET Framework 2.0 Service Pack 2, quindi l'installazione del primo installa anche quest'ultima. Pertanto, i clienti che hanno installato .NET Framework 3.0 Service Pack 2 devono installare gli aggiornamenti della sicurezza per .NET Framework 2.0 Service Pack 2.
È installato .NET Framework 3.5. È necessario installare eventuali aggiornamenti aggiuntivi?
Questo bollettino descrive una vulnerabilità nei livelli di funzionalità di .NET Framework 2.0 e .NET Framework 3.5. Il programma di installazione di .NET Framework 3.5 si concatena sia nell'installazione di .NET Framework 2.0 Service Pack 1 che nell'installazione di .NET Framework 3.0 Service Pack 1. Pertanto, anche i clienti che hanno installato .NET Framework 3.5 devono installare gli aggiornamenti della sicurezza per .NET Framework 2.0 Service Pack 1 oltre agli aggiornamenti per .NET Framework 3.5.
Per determinare se nel sistema sono installate versioni aggiuntive di .NET Framework, vedere la voce domande frequenti "Ricerca per categorie determinare la versione di Microsoft .NET Framework installata" più avanti in questa sezione.
È installato .NET Framework 3.5 Service Pack 1. È necessario installare eventuali aggiornamenti aggiuntivi?
Questo bollettino descrive una vulnerabilità nei livelli di funzionalità di .NET Framework 2.0 e .NET Framework 3.5. Il programma di installazione di .NET Framework 3.5 Service Pack 1 si concatena sia nell'installazione di .NET Framework 2.0 Service Pack 2 che nell'installazione di .NET Framework 3.0 Service Pack 2. Pertanto, anche i clienti che hanno installato .NET Framework 3.5 Service Pack 1 devono installare gli aggiornamenti della sicurezza per .NET Framework 2.0 Service Pack 2.
Per determinare se nel sistema sono installate versioni aggiuntive di .NET Framework, vedere la voce domande frequenti "Ricerca per categorie determinare la versione di Microsoft .NET Framework installata" più avanti in questa sezione.
Perché questo bollettino è stato rivisto il 30 settembre 2010?
Microsoft ha rivisto questo bollettino per annunciare che gli aggiornamenti sono ora disponibili tramite tutti i canali di distribuzione, tra cui Microsoft Update e Windows Update. Inoltre, in questa revisione sono stati inclusi anche i chiarimenti e le correzioni seguenti:
- Sono state apportate le correzioni seguenti alla tabella Software interessato:
- La descrizione del bollettino per l'aggiornamento KB2418241 è stata corretta per includere .NET Framework 3.5 Service Pack 1 nei sistemi Windows XP e Windows Server 2003. Si tratta solo di una modifica del bollettino. I clienti che hanno installato correttamente l'aggiornamento KB2418241 non devono reinstallare. I clienti che eseguono .NET Framework 3.5 Service Pack 1 nei sistemi Windows XP o Windows Server 2003 che non hanno installato l'aggiornamento KB2418241 devono applicare l'aggiornamento alla prima opportunità, anche se hanno già applicato l'aggiornamento KB2416473 per .NET Framework 3.5 Service Pack 1. I clienti devono applicare tutti gli aggiornamenti offerti per il software installato nei propri sistemi.
- La descrizione del bollettino per l'aggiornamento KB2416474 è stata corretta per includere .NET Framework 3.5 Service Pack 1 nei sistemi Windows Vista e Windows Server 2008. Si tratta solo di una modifica del bollettino. I clienti che hanno installato correttamente l'aggiornamento KB2416474 non devono reinstallare. I clienti che eseguono .NET Framework 3.5 Service Pack 1 in sistemi Windows Vista o Windows Server 2008 che non hanno installato l'aggiornamento KB2416474 devono applicare l'aggiornamento alla prima opportunità, anche se hanno già applicato l'aggiornamento KB2416473 per .NET Framework 3.5 Service Pack 1. I clienti devono applicare tutti gli aggiornamenti offerti per il software installato nei propri sistemi.
- La descrizione del bollettino per l'aggiornamento KB2416470 è stata corretta per includere Microsoft .NET Framework 3.5 e Microsoft .NET Framework 3.5 Service Pack 1 nei sistemi Windows Vista e Windows Server 2008. Si tratta solo di una modifica del bollettino. I clienti che hanno installato correttamente l'aggiornamento KB2416470 non devono reinstallare. I clienti che eseguono .NET Framework 3.5 e Microsoft .NET Framework 3.5 Service Pack 1 in sistemi Windows Vista o Windows Server 2008 che non hanno installato l'aggiornamento KB2416470 devono applicare l'aggiornamento alla prima opportunità, anche se hanno già applicato l'aggiornamento KB2418240 per .NET Framework 3.5 e aggiornare KB2416473 per .NET Framework 3.5 Service Pack 1. I clienti devono applicare tutti gli aggiornamenti offerti per il software installato nei propri sistemi.
- L'aggiornamento KB2418240 è stato elencato come aggiornamento aggiuntivo per i sistemi .NET Framework 3.5 per Windows XP, Windows Server 2003, Windows Vista Service Pack 1 e Windows Server 2008. Si tratta solo di una modifica del bollettino. I clienti che hanno installato correttamente l'aggiornamento KB2418240 non devono reinstallare. I clienti che eseguono .NET Framework 3.5 nei sistemi Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008 che non hanno installato l'aggiornamento KB2418240 devono applicare l'aggiornamento alla prima opportunità, anche se hanno già applicato un aggiornamento diverso per .NET Framework 3.5. I clienti devono applicare tutti gli aggiornamenti offerti per il software installato nei propri sistemi.
- Aggiunta delle domande frequenti: "Ricerca per categorie determinare quale versione di Microsoft .NET Framework è installata?" in questa sezione.
- Aggiunta delle domande frequenti: "Sono presenti due aggiornamenti elencati per la versione di Microsoft .NET Framework installata nel sistema. È necessario installare entrambi gli aggiornamenti?" in questa sezione.
- In questa sezione sono state aggiunte le domande frequenti " È necessario installare questi aggiornamenti della sicurezza in una determinata sequenza".
Ricerca per categorie determinare quale versione di Microsoft .NET Framework è installata?
È possibile installare ed eseguire più versioni di .NET Framework in un sistema ed è possibile installare le versioni in qualsiasi ordine. Esistono diversi modi per determinare quali versioni di .NET Framework sono attualmente installate. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 318785.
Sono elencati due aggiornamenti per la versione di Microsoft .NET Framework installata nel sistema. È necessario installare entrambi gli aggiornamenti?
Sì. I clienti devono applicare tutti gli aggiornamenti offerti per il software installato nei propri sistemi.
È necessario installare questi aggiornamenti della sicurezza in una sequenza specifica?
No. È possibile applicare più aggiornamenti per una versione di .NET Framework in qualsiasi sequenza. È consigliabile applicare più aggiornamenti per versioni diverse di .NET Framework in sequenza dal numero di versione più basso al più alto, ma tale sequenza non è necessaria.
Dove sono i dettagli delle informazioni sul file?
Per informazioni dettagliate sul percorso delle informazioni sui file, vedere le tabelle di riferimento nella sezione Distribuzione aggiornamenti della sicurezza.
Uso una versione precedente del software discussa in questo bollettino sulla sicurezza. Cosa devo fare?
Il software interessato elencato in questo bollettino è stato testato per determinare quali versioni sono interessate. Altre versioni hanno superato il ciclo di vita del supporto. Per altre informazioni sul ciclo di vita del prodotto, visitare il sito Web supporto tecnico Microsoft Lifecycle.
Deve essere una priorità per i clienti che dispongono di versioni precedenti del software per eseguire la migrazione alle versioni supportate per evitare potenziali esposizione alle vulnerabilità. Per determinare il ciclo di vita del supporto per la versione software, vedere Selezionare un prodotto per informazioni sul ciclo di vita. Per altre informazioni sui Service Pack per queste versioni software, vedere Lifecycle Supported Service Pack.
I clienti che richiedono supporto personalizzato per il software precedente devono contattare il rappresentante del team dell'account Microsoft, il responsabile dell'account tecnico o il rappresentante partner Microsoft appropriato per le opzioni di supporto personalizzate. I clienti senza contratto Alliance, Premier o Authorized possono contattare l'ufficio vendite Microsoft locale. Per informazioni di contatto, visitare il sito Web Microsoft Worldwide Information , selezionare il paese nell'elenco Informazioni contatto e quindi fare clic su Vai per visualizzare un elenco di numeri di telefono. Quando chiami, chiedi di parlare con il responsabile vendite premier support locale. Per altre informazioni, vedere domande frequenti sui criteri relativi al ciclo di vita di supporto tecnico Microsoft.
Informazioni sulla vulnerabilità
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di settembre. Per altre informazioni, vedere Microsoft Exploitability Index.
Software interessato | vulnerabilità ASP.NET Padding Oracle - CVE-2010-3332 | Valutazione della gravità aggregata |
---|---|---|
Microsoft .NET Framework 1.1 Service Pack 1 | ||
Microsoft .NET Framework 1.1 Service Pack 1 quando è installato in Windows XP Service Pack 3 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando installato in Windows XP Professional x64 Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 in Windows Server 2003 Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando installato in Windows Server 2003 x64 Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando installato in Windows Server 2003 Itanium Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando è installato in Windows Vista Service Pack 1 e Windows Vista Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando installato in Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando installato in Windows Server 2008 per sistemi a 32 bit e Windows Server 2008 per sistemi a 32 bit Service Pack 2** | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 se installato in Windows Server 2008 per sistemi basati su x64 e Windows Server 2008 per sistemi basati su x64 Service Pack 2** | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando installato in Windows Server 2008 per sistemi basati su Itanium e Windows Server 2008 per Sistemi basati su Itanium Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 | ||
Microsoft .NET Framework 2.0 Service Pack 1 in Windows Vista Service Pack 1 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 in Windows Vista x64 Edition Service Pack 1 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 in Windows Server 2008 per sistemi a 32 bit** | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 in Windows Server 2008 per sistemi basati su x64** | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 in Windows Server 2008 per sistemi basati su Itanium | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 | ||
Microsoft .NET Framework 2.0 Service Pack 2 quando installato in Windows XP Service Pack 3 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 quando è installato in Windows XP Professional x64 Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 quando installato in Windows Server 2003 Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 quando installato in Windows Server 2003 x64 Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 quando installato in Windows Server 2003 con SP2 per sistemi basati su Itanium | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 in Windows Vista Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 in Windows Vista x64 Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 in Windows Server 2008 per sistemi a 32 bit Service Pack 2** | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 in Windows Server 2008 per sistemi basati su x64 Service Pack 2** | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 in Windows Server 2008 per sistemi basati su Itanium Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 | ||
Microsoft .NET Framework 3.5 quando installato in Windows XP Service Pack 3 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 quando installato in Windows XP Professional x64 Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 quando installato in Windows Server 2003 Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 quando installato in Windows Server 2003 x64 Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 quando installato in Windows Server 2003 con SP2 per sistemi basati su Itanium | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 quando installato in Windows Vista Service Pack 1 e Windows Vista Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 quando installato in Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 quando installato in Windows Server 2008 per sistemi a 32 bit** | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 quando è installato in Windows Server 2008 per sistemi basati su x64** | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 quando installato in Windows Server 2008 per sistemi basati su Itanium | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 | ||
Microsoft .NET Framework 3.5 Service Pack 1 quando è installato in Windows XP Service Pack 3 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando è installato in Windows XP Professional x64 Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando installato in Windows Server 2003 Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando è installato in Windows Server 2003 x64 Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando è installato in Windows Server 2003 con SP2 per sistemi basati su Itanium | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando installato in Windows Vista Service Pack 1 e Windows Vista Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando installato in Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando installato in Windows Server 2008 per sistemi a 32 bit e Windows Server 2008 per sistemi a 32 bit Service Pack 2** | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando installato in Windows Server 2008 per sistemi basati su x64 e Windows Server 2008 per sistemi basati su x64 Service Pack 2** | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando installato in Windows Server 2008 per sistemi basati su Itanium e Windows Server 2008 per sistemi basati su Itanium Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5.1 | ||
Microsoft .NET Framework 3.5.1 in Windows 7 per sistemi a 32 bit | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5.1 in Windows 7 per sistemi basati su x64 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5.1 in Windows Server 2008 R2 per sistemi basati su x64* | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 3.5.1 in Windows Server 2008 R2 per sistemi basati su Itanium | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 4.0 | ||
Microsoft .NET Framework 4.0 in Windows XP Service Pack 3 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 4.0 in Windows XP Professional x64 Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 4.0 in Windows Server 2003 Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 4.0 in Windows Server 2003 x64 Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 4.0 in Windows Server 2003 con SP2 per sistemi basati su Itanium | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 4.0 in Windows Vista Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 4.0 in Windows Vista x64 Edition Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 4.0 in Windows Server 2008 per sistemi a 32 bit Service Pack 2** | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 4.0 in Windows Server 2008 per sistemi basati su x64 Service Pack 2** | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 4.0 in Windows Server 2008 per Sistemi basati su Itanium Service Pack 2 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 4.0 in Windows 7 per sistemi a 32 bit e Windows 7 per sistemi a 32 bit Service Pack 1 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 4.0 in Windows 7 per sistemi basati su x64 e Windows 7 per sistemi basati su x64 Service Pack 1 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 4.0 in Windows Server 2008 R2 per sistemi basati su x64 | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 4.0 in Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1* | Divulgazione di informazioni importanti | Importante |
Microsoft .NET Framework 4.0 in Windows Server 2008 R2 per sistemi basati su Itanium e Windows Server 2008 R2 per Sistemi basati su Itanium Service Pack 1 | Divulgazione di informazioni importanti | Importante |
*Installazione dei componenti di base del server interessata. Questo aggiornamento si applica, con la stessa classificazione di gravità, alle edizioni supportate di Windows Server 2008 o Windows Server 2008 R2 come indicato, indipendentemente dal fatto che sia installata o meno usando l'opzione di installazione Server Core. Per altre informazioni su questa opzione di installazione, vedere gli articoli TechNet Gestione di un'installazione dei componenti di base del server e manutenzione di un'installazione dei componenti di base del server. Si noti che l'opzione di installazione Server Core non si applica a determinate edizioni di Windows Server 2008 e Windows Server 2008 R2; vedere Confrontare le opzioni di installazione dei componenti di base del server.
**Installazione dei componenti di base del server non interessata. Le vulnerabilità risolte da questo aggiornamento non influiscono sulle edizioni supportate di Windows Server 2008 o Windows Server 2008 R2, come indicato, se installate con l'opzione di installazione Server Core. Per altre informazioni su questa opzione di installazione, vedere gli articoli TechNet Gestione di un'installazione dei componenti di base del server e manutenzione di un'installazione dei componenti di base del server. Si noti che l'opzione di installazione Server Core non si applica a determinate edizioni di Windows Server 2008 e Windows Server 2008 R2; vedere Confrontare le opzioni di installazione dei componenti di base del server.
vulnerabilità ASP.NET Padding Oracle - CVE-2010-3332
Esiste una vulnerabilità di divulgazione di informazioni in ASP.NET a causa di una gestione non corretta degli errori durante la verifica della spaziatura interna della crittografia. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe leggere i dati, ad esempio lo stato di visualizzazione, crittografato dal server. Questa vulnerabilità può essere usata anche per manomettere i dati, che, se sfruttati correttamente, possono essere usati per decrittografare e manomettere i dati crittografati dal server. Si noti che questa vulnerabilità non consentirebbe a un utente malintenzionato di eseguire codice o di elevare direttamente i diritti utente, ma potrebbe essere usata per produrre informazioni che potrebbero essere usate per tentare di compromettere ulteriormente il sistema interessato. In Microsoft .NET Framework 3.5 Service Pack 1 e versioni successive, questa vulnerabilità può essere usata anche da un utente malintenzionato per recuperare il contenuto di qualsiasi file all'interno dell'applicazione ASP.NET, incluso web.config.
Per visualizzare questa vulnerabilità come voce standard nell'elenco Vulnerabilità ed esposizioni comuni, vedere CVE-2010-3332.
Fattori di mitigazione per ASP.NET vulnerabilità oracle di riempimento - CVE-2010-3332
La mitigazione si riferisce a un'impostazione, a una configurazione comune o a una procedura consigliata generale, esistente in uno stato predefinito, che potrebbe ridurre la gravità dello sfruttamento di una vulnerabilità. I fattori di mitigazione seguenti possono essere utili nella situazione:
- Le versioni di Microsoft .NET Framework precedenti a Microsoft .NET Framework 3.5 Service Pack 1 non sono interessate dalla parte di divulgazione del contenuto dei file di questa vulnerabilità.
Soluzioni alternative per ASP.NET vulnerabilità Oracle di riempimento - CVE-2010-3332
La soluzione alternativa si riferisce a un'impostazione o a una modifica della configurazione che non corregge la vulnerabilità sottostante, ma che consente di bloccare i vettori di attacco noti prima di applicare l'aggiornamento. Microsoft ha testato le soluzioni alternative e gli stati seguenti nella discussione se una soluzione alternativa riduce le funzionalità:
Abilitare una regola di filtro urlscan o richiesta, abilitare ASP.NET errori personalizzati ed eseguire il mapping di tutti i codici di errore alla stessa pagina di errore
L'abilitazione della funzionalità customErrors di ASP.NET e la configurazione esplicita delle applicazioni per restituire sempre la stessa pagina di errore, indipendentemente dall'errore rilevato nel server, può rendere più difficile per un utente malintenzionato usare l'exploit corrente per distinguere tra i diversi tipi di errori che si verificano in un server.
Nei sistemi che usano .NET Framework versione 3.5 Service Pack 1 e successive, la soluzione alternativa offre ulteriore protezione, contribuendo anche a proteggersi dalla parte di attacco temporale dell'exploit corrente. La soluzione alternativa usa l'opzione redirectMode="ResponseRewrite" nella funzionalità customErrors e introduce un ritardo casuale nella pagina di errore. Questi approcci interagiscono per rendere più difficile per un utente malintenzionato dedurre il tipo di errore che si è verificato nel server misurando il tempo necessario per ricevere l'errore.
Inoltre, questa soluzione alternativa richiede il blocco delle richieste che specificano il percorso di errore dell'applicazione nella stringa di query. Questa operazione può essere eseguita tramite URLScan, uno strumento gratuito per Internet Information Services (IIS) che può bloccare in modo selettivo le richieste in base alle regole definite dall'amministratore. Se il sistema esegue Internet Information Services (IIS) in Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 o Windows Server 2008 R2, è possibile usare in alternativa la funzionalità filtro richieste.
Bloccare le richieste che modificano ASP.Net percorso di errore dell'applicazione nella stringa di query della richiesta
Uso di UrlScan:
Scaricare e installare UrlScan 3.1. Per altre istruzioni sulla configurazione e l'uso di UrlScan, vedere Informazioni di riferimento su UrlScan 3.
Modificare UrlScan.ini (disponibile in %windir%\system32\inetsrv\urlscan). Inserire la riga seguente nella sezione [DenyQueryStringSequences] del file Urlscan.ini:
aspxerrorpath=
A questo scopo, la sezione [DenyQueryStringSequences] dovrebbe essere simile a questa (le righe aggiuntive nella sezione sono ok e non influiscono sulla soluzione alternativa):
[DenyQueryStringSequences] aspxerrorpath=
- Eseguire iisreset da un prompt dei comandi durante l'accesso come amministratore.
Uso del filtro delle richieste IIS:
Queste istruzioni sono un'alternativa alle istruzioni urlScan riportate sopra per i sistemi che eseguono IIS in Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 o Windows Server 2008 R2.
Installare la funzionalità Filtro richieste in IIS tramite Installazione applicazioni o Gestione ruoli selezionando la funzionalità in Internet Information Services, Servizi Web internazionali, Sicurezza.
Avviare Gestione Internet Information Services (IIS).
Selezionare il nodo del server nel riquadro sinistro.
Fare doppio clic su Filtro richieste.
Selezionare la scheda Stringhe di query e fare clic su Nega stringa di query ... nel riquadro Azioni .
Immettere aspxerrorpath= nella finestra di dialogo e selezionare OK.
In alternativa, è anche possibile usare il comando appcmd seguente per impostare questa querystring di richiesta:
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']
Per altre informazioni sull'uso di appcmd per configurare IIS, vedere Introduzione alle AppCmd.exe.
Configurare ASP.Net applicazioni per l'uso di errori personalizzati uniformi
Nella cartella radice di ogni applicazione Web ASP.NET determinare se si dispone già di un file web.config in questa cartella. Per implementare questa soluzione alternativa, è necessario disporre dei diritti necessari per creare un file nella directory di destinazione.
Se l'applicazione ASP.NET non dispone di un file web.config:
In .NET Framework 3.5 e versioni precedenti
- Creare un file di testo denominato web.config nella cartella radice dell'applicazione ASP.NET e inserire il contenuto seguente:
<configuration>
2. Create a text file named **error.html** containing a generic error message and save it in the root folder of the ASP.NET application.
3. Alternatively, you can rename error.html in the **web.config** file to point to an existing error page, but that page must display generic content, not context-specific content.
**On .NET Framework 3.5 Service Pack 1 and later**
1. Create a text file named **web.config** in the root folder of the ASP.NET application, and insert the following contents:
```
<configuration>
```
2. If you are comfortable using C\#, we recommend using the following **ErrorPage.aspx** file:
```
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
```
```
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
```
```
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "https://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
```
```
<html xmlns="https://www.w3.org/1999/xhtml">