Boletim de Segurança
Microsoft Security Bulletin MS10-070 - Importante
Vulnerabilidade no ASP.NET pode permitir a divulgação não autorizada de informações (2418042)
Publicado: terça-feira, 28 de setembro de 2010 | Atualizado: October 26, 2011
Versão: 4.2
Informações Gerais
Resumo executivo
Esta atualização de segurança elimina uma vulnerabilidade divulgada publicamente no ASP.NET. A vulnerabilidade pode permitir a divulgação de informações. O invasor que explorar com êxito essa vulnerabilidade poderá ler dados, como o estado de exibição, que foi criptografado pelo servidor. Essa vulnerabilidade também pode ser usada para adulteração de dados, que, se explorada com êxito, pode ser usada para descriptografar e adulterar os dados criptografados pelo servidor. As versões do Microsoft .NET Framework anteriores ao Microsoft .NET Framework 3.5 Service Pack 1 não são afetadas pela parte de divulgação de conteúdo de arquivo desta vulnerabilidade.
Esta atualização de segurança é classificada como Importante para todas as edições com suporte do ASP.NET exceto Microsoft .NET Framework 1.0 Service Pack 3. Para obter mais informações, consulte a subseção Software afetado e não afetado, nesta seção.
A atualização de segurança elimina a vulnerabilidade assinando adicionalmente todos os dados criptografados pelo ASP.NET. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas frequentes sobre a entrada de vulnerabilidade específica na próxima seção, Informações sobre a vulnerabilidade.
Esta atualização de segurança também elimina a vulnerabilidade descrita pela primeira vez no Comunicado de Segurança da Microsoft 2416728.
Recomendação. A Microsoft recomenda que os clientes apliquem a atualização o mais rápido possível.
Consulte também a seção Orientação e ferramentas de detecção e implantação, mais adiante neste boletim.
Problemas conhecidos.O Artigo 2418042 Base de Dados de Conhecimento Microsoft documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização de segurança. O artigo também documenta soluções recomendadas para esses problemas.
Software afetado e não afetado
O software a seguir foi testado para determinar quais versões ou edições são afetadas. Outras versões ou edições já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, visite Ciclo de Vida do Suporte da Microsoft.
Softwares afetados
*Instalação Server Core afetada. Esta atualização se aplica, com a mesma classificação de gravidade, às edições com suporte do Windows Server 2008 R2, conforme indicado, independentemente de serem ou não instaladas usando a opção de instalação Server Core. Para obter mais informações sobre essa opção de instalação, consulte os artigos do TechNet, Gerenciando uma instalação Server Core e Manutenção de uma instalação Server Core. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar opções de instalação Server Core.
**Instalação Server Core não afetada. As vulnerabilidades abordadas por esta atualização não afetam as edições com suporte do Windows Server 2008, conforme indicado, quando instaladas usando a opção de instalação Server Core. Para obter mais informações sobre essa opção de instalação, consulte os artigos do TechNet, Gerenciando uma instalação Server Core e Manutenção de uma instalação Server Core. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar opções de instalação Server Core.
[1]. NET Framework 4.0 Client Profile não afetado. Os pacotes redistribuíveis do .NET Framework versão 4 estão disponíveis em dois perfis: .NET Framework 4.0 e .NET Framework 4.0 Client Profile. O .NET Framework 4.0 Client Profile é um subconjunto do .NET Framework 4.0. A vulnerabilidade abordada nesta atualização afeta apenas o .NET Framework 4.0 e não o .NET Framework 4.0 Client Profile. Para obter mais informações, consulte: Instalando o .NET Framework.
Software não afetado
Sistema operacional | Componente |
---|---|
Microsoft .NET Framework 1.0 Service Pack 3 | |
Windows XP Service Pack 3 | Microsoft .NET Framework 1.0 Service Pack 3 (somente Windows XP Media Center Edition 2005 e Windows XP Tablet PC Edition 2005) |
Microsoft .NET Framework 3.5.1 | |
Windows 7 para sistemas de 32 bits Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows 7 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Perguntas frequentes relacionadas a esta atualização de segurança
Por que este boletim foi revisado em 22 de fevereiro de 2011?
A Microsoft revisou este boletim de segurança para anunciar uma alteração de detecção para oferecer os pacotes de atualização do Microsoft .NET Framework 4.0 (KB2416472) para sistemas que executam o Windows 7 para sistemas de 32 bits Service Pack 1, Windows 7 para sistemas baseados em x64 Service Pack 1, Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 e Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1. Essa alteração de detecção só se aplica a clientes que instalam o Microsoft .NET Framework 4.0 após a instalação do Windows 7 para sistemas de 32 bits Service Pack 1, Windows 7 para sistemas baseados em x64 Service Pack 1, Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 ou Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1. Os clientes que já atualizaram seus sistemas com êxito não precisam tomar nenhuma ação.
Por que este boletim foi revisado em 14 de dezembro de 2010?
A Microsoft revisou este boletim de segurança para anunciar que novos pacotes de atualização estão disponíveis para o Microsoft .NET Framework 4.0 (KB2416472). Esses novos pacotes corrigem um problema na instalação que poderia interferir na instalação bem-sucedida de outras atualizações. Para clientes que podem ter uma instalação de outro produto ou atualização que pode ter sido afetada por esse problema, consulte o Artigo 2473228 da Base de Dados de Conhecimento Microsoft para obter informações adicionais. Os clientes que já atualizaram seus sistemas com êxito não precisam tomar nenhuma ação.
Tenho o .NET Framework 3.0 Service Pack 2 instalado; Esta versão não está listada entre os softwares afetados neste boletim. Preciso instalar uma atualização?
Este boletim descreve uma vulnerabilidade nas camadas de recurso do .NET Framework 2.0 e do .NET Framework 3.5. O instalador do .NET Framework 3.0 Service Pack 2 é encadeado na instalação do .NET Framework 2.0 Service Pack 2, portanto, instalar o primeiro também instala o segundo. Portanto, os clientes que têm o .NET Framework 3.0 Service Pack 2 instalado precisam instalar atualizações de segurança para o .NET Framework 2.0 Service Pack 2.
Tenho o .NET Framework 3.5 instalado. Preciso instalar alguma atualização adicional?
Este boletim descreve uma vulnerabilidade nas camadas de recurso do .NET Framework 2.0 e do .NET Framework 3.5. O instalador do .NET Framework 3.5 é encadeado na instalação do .NET Framework 2.0 Service Pack 1 e na instalação do .NET Framework 3.0 Service Pack 1. Portanto, os clientes que têm o .NET Framework 3.5 instalado também precisam instalar atualizações de segurança para o .NET Framework 2.0 Service Pack 1, além das atualizações para o .NET Framework 3.5.
Para ajudar a determinar se há versões adicionais do .NET Framework instaladas em seu sistema, consulte a entrada de perguntas frequentes, "Como determinar qual versão do Microsoft .NET Framework está instalada", mais adiante nesta seção.
Tenho o .NET Framework 3.5 Service Pack 1 instalado. Preciso instalar alguma atualização adicional?
Este boletim descreve uma vulnerabilidade nas camadas de recurso do .NET Framework 2.0 e do .NET Framework 3.5. O instalador do .NET Framework 3.5 Service Pack 1 é encadeado na instalação do .NET Framework 2.0 Service Pack 2 e na instalação do .NET Framework 3.0 Service Pack 2. Portanto, os clientes que têm o .NET Framework 3.5 Service Pack 1 instalado também precisam instalar atualizações de segurança para o .NET Framework 2.0 Service Pack 2.
Para ajudar a determinar se há versões adicionais do .NET Framework instaladas em seu sistema, consulte a entrada de perguntas frequentes, "Como determinar qual versão do Microsoft .NET Framework está instalada", mais adiante nesta seção.
Por que este boletim foi revisado em 30 de setembro de 2010?
A Microsoft revisou este boletim para anunciar que as atualizações agora estão disponíveis em todos os canais de distribuição, incluindo o Microsoft Update e o Windows Update. Além disso, os seguintes esclarecimentos e correções também foram incluídos nesta revisão:
- Feitas as seguintes correções na tabela Softwares afetados:
- A descrição do boletim para KB2418241 de atualização foi corrigida para incluir o .NET Framework 3.5 Service Pack 1 nos sistemas Windows XP e Windows Server 2003. Esta foi apenas uma alteração de boletim. Os clientes que instalaram com êxito a atualização KB2418241 não precisam reinstalar. Os clientes que executam o .NET Framework 3.5 Service Pack 1 em sistemas Windows XP ou Windows Server 2003 que não instalaram o KB2418241 de atualização devem aplicar a atualização o mais rápido possível, mesmo que já tenham aplicado KB2416473 de atualização para o .NET Framework 3.5 Service Pack 1. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.
- A descrição do boletim para KB2416474 de atualização foi corrigida para incluir o .NET Framework 3.5 Service Pack 1 nos sistemas Windows Vista e Windows Server 2008. Esta foi apenas uma alteração de boletim. Os clientes que instalaram com êxito a atualização KB2416474 não precisam reinstalar. Os clientes que executam o .NET Framework 3.5 Service Pack 1 em sistemas Windows Vista ou Windows Server 2008 que não instalaram o KB2416474 de atualização devem aplicá-la o mais rápido possível, mesmo que já tenham aplicado KB2416473 de atualização para o .NET Framework 3.5 Service Pack 1. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.
- A descrição do boletim para KB2416470 de atualização foi corrigida para incluir o Microsoft .NET Framework 3.5 e o Microsoft .NET Framework 3.5 Service Pack 1 nos sistemas Windows Vista e Windows Server 2008. Esta foi apenas uma alteração de boletim. Os clientes que instalaram com êxito a atualização KB2416470 não precisam reinstalar. Os clientes que executam o .NET Framework 3.5 e o Microsoft .NET Framework 3.5 Service Pack 1 em sistemas Windows Vista ou Windows Server 2008 que não instalaram o KB2416470 de atualização devem aplicar a atualização o mais rápido possível, mesmo que já tenham aplicado o KB2418240 de atualização para o .NET Framework 3.5 e o KB2416473 de atualização para o .NET Framework 3.5 Service Pack 1. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.
- O Update KB2418240 foi listado como uma atualização adicional para o .NET Framework 3.5 para sistemas Windows XP, Windows Server 2003, Windows Vista Service Pack 1 e Windows Server 2008. Esta foi apenas uma alteração de boletim. Os clientes que instalaram com êxito a atualização KB2418240 não precisam reinstalar. Os clientes que executam o .NET Framework 3.5 em sistemas Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008 que não instalaram a atualização KB2418240 devem aplicar a atualização o mais rápido possível, mesmo que já tenham aplicado uma atualização diferente para o .NET Framework 3.5. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.
- Adicionadas as perguntas frequentes, "Como determinar qual versão do Microsoft .NET Framework está instalada?" nesta seção.
- Adicionadas as perguntas frequentes, "Há duas atualizações listadas para a versão do Microsoft .NET Framework instalada no meu sistema. Preciso instalar as duas atualizações?" nesta seção.
- Adicionadas as perguntas frequentes, "Preciso instalar essas atualizações de segurança em uma sequência específica?" nesta seção.
Como determinar qual versão do Microsoft .NET Framework está instalada?
Você pode instalar e executar várias versões do .NET Framework em um sistema e pode instalar as versões em qualquer ordem. Há várias maneiras de determinar quais versões do .NET Framework estão instaladas no momento. Para obter mais informações, consulte o artigo 318785 da Base de Dados de Conhecimento Microsoft.
Há duas atualizações listadas para a versão do Microsoft .NET Framework instalada no meu sistema. Preciso instalar ambas as atualizações?
Sim. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.
Preciso instalar essas atualizações de segurança em uma sequência específica?
Não. Várias atualizações para uma versão do .NET Framework podem ser aplicadas em qualquer sequência. Recomendamos que várias atualizações para diferentes versões do .NET Framework sejam aplicadas em sequência do número de versão mais baixo para o mais alto, no entanto, essa sequência não é necessária.
Onde estão os detalhes das informações do arquivo?
Consulte as tabelas de referência na seção Implantação da Atualização de Segurança para obter o local dos detalhes das informações do arquivo.
Estou usando uma versão mais antiga do software discutido neste boletim de segurança. O que devo fazer?
Os softwares afetados listados neste boletim foram testados para determinar quais versões são afetadas. Outras versões já passaram do ciclo de vida de suporte. Para obter mais informações sobre o ciclo de vida do produto, visite o site do Ciclo de Vida do Suporte da Microsoft.
Deve ser uma prioridade para os clientes que têm versões mais antigas do software migrar para versões com suporte para evitar a exposição potencial a vulnerabilidades. Para determinar o ciclo de vida de suporte para sua versão de software, consulte Selecionar um produto para obter informações sobre o ciclo de vida. Para obter mais informações sobre service packs para essas versões de software, consulte Service Packs com suporte no ciclo de vida.
Os clientes que precisam de suporte personalizado para software mais antigo devem entrar em contato com o representante da equipe de contas da Microsoft, o gerente técnico de contas ou o representante de parceiro da Microsoft apropriado para obter opções de suporte personalizadas. Os clientes sem um Contrato Alliance, Premier ou Autorizado podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contacto, visite o Web site Microsoft Worldwide Information , seleccione o país na lista de informações de contacto e, em seguida, clique em Ir para ver uma lista de números de telefone. Quando ligar, peça para falar com o gerente de vendas do Suporte Premier local. Para obter mais informações, consulte as Perguntas frequentes sobre a Política de Ciclo de Vida do Suporte da Microsoft.
Informações de vulnerabilidade
Classificações de gravidade e identificadores de vulnerabilidade
As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de setembro. Para obter mais informações, consulte Índice de exploração da Microsoft.
Softwares afetados | Vulnerabilidade de preenchimento do Oracle ASP.NET - CVE-2010-3332 | Classificação de gravidade agregada |
---|---|---|
Microsoft .NET Framework 1.1 Service Pack 1 | ||
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows XP Service Pack 3 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows XP Professional x64 Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 no Windows Server 2003 Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows Server 2003 x64 Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows Server 2003 Itanium-based Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows Vista Service Pack 1 e Windows Vista Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2** | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2** | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows Server 2008 para sistemas baseados no Itanium e no Windows Server 2008 para sistemas baseados no Itanium Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 | ||
Microsoft .NET Framework 2.0 Service Pack 1 no Windows Vista Service Pack 1 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 no Windows Vista x64 Edition Service Pack 1 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 no Windows Server 2008 para sistemas de 32 bits** | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 no Windows Server 2008 para sistemas baseados em x64** | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 no Windows Server 2008 para sistemas baseados em Itanium | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 | ||
Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Windows XP Service Pack 3 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Windows XP Professional x64 Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Windows Server 2003 Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Windows Server 2003 x64 Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Windows Server 2003 com SP2 para sistemas baseados em Itanium | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 no Windows Vista Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 no Windows Vista x64 Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para sistemas de 32 bits Service Pack 2** | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para sistemas baseados em x64 Service Pack 2** | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 | ||
Microsoft .NET Framework 3.5 quando instalado no Windows XP Service Pack 3 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows XP Professional x64 Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Server 2003 Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Server 2003 x64 Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Server 2003 com SP2 para sistemas baseados em Itanium | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Vista Service Pack 1 e Windows Vista Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Server 2008 para sistemas de 32 bits** | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Server 2008 para sistemas baseados em x64** | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Server 2008 para sistemas baseados em Itanium | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 | ||
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows XP Service Pack 3 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows XP Professional x64 Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2003 Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2003 x64 Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2003 com SP2 para sistemas baseados em Itanium | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Vista Service Pack 1 e Windows Vista Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2** | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2** | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2008 para sistemas baseados no Itanium e no Windows Server 2008 para sistemas baseados no Itanium Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5.1 | ||
Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas de 32 bits | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas baseados em x64 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em x64* | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em Itanium | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 4.0 | ||
Microsoft .NET Framework 4.0 no Windows XP Service Pack 3 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 4.0 no Windows XP Professional x64 Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2003 Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2003 x64 Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2003 com SP2 para sistemas baseados em Itanium | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Vista Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Vista x64 Edition Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2008 para sistemas de 32 bits Service Pack 2** | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2008 para sistemas baseados em x64 Service Pack 2** | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 4.0 no Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 4.0 no Windows 7 para sistemas baseados em x64 e Windows 7 para sistemas baseados em x64 Service Pack 1 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2008 R2 para sistemas baseados em x64 | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1* | Divulgação de Informações Importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2008 R2 para sistemas baseados no Itanium e Windows Server 2008 R2 para sistemas baseados no Itanium Service Pack 1 | Divulgação de Informações Importantes | Importante |
*Instalação Server Core afetada. Esta atualização se aplica, com a mesma classificação de gravidade, às edições com suporte do Windows Server 2008 ou Windows Server 2008 R2, conforme indicado, independentemente de serem ou não instaladas usando a opção de instalação Server Core. Para obter mais informações sobre essa opção de instalação, consulte os artigos do TechNet, Gerenciando uma instalação Server Core e Manutenção de uma instalação Server Core. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar opções de instalação Server Core.
**Instalação Server Core não afetada. As vulnerabilidades abordadas por esta atualização não afetam as edições com suporte do Windows Server 2008 ou Windows Server 2008 R2, conforme indicado, quando instaladas usando a opção de instalação Server Core. Para obter mais informações sobre essa opção de instalação, consulte os artigos do TechNet, Gerenciando uma instalação Server Core e Manutenção de uma instalação Server Core. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar opções de instalação Server Core.
Vulnerabilidade de preenchimento do Oracle ASP.NET - CVE-2010-3332
Existe uma vulnerabilidade de divulgação não autorizada de informações no ASP.NET devido ao tratamento inadequado de erros durante a verificação de preenchimento de criptografia. O invasor que explorar com êxito essa vulnerabilidade poderá ler dados, como o estado de exibição, que foi criptografado pelo servidor. Essa vulnerabilidade também pode ser usada para adulteração de dados, que, se explorada com êxito, pode ser usada para descriptografar e adulterar os dados criptografados pelo servidor. Observe que essa vulnerabilidade não permite que um invasor execute código ou eleve seus direitos de usuário diretamente, mas pode ser usada para produzir informações que podem ser usadas para tentar comprometer ainda mais o sistema afetado. No Microsoft .NET Framework 3.5 Service Pack 1 e superior, essa vulnerabilidade também pode ser usada por um invasor para recuperar o conteúdo de qualquer arquivo no aplicativo ASP.NET, incluindo web.config.
Para exibir esta vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2010-3332.
Fatores atenuantes da vulnerabilidade do Oracle de preenchimento de ASP.NET - CVE-2010-3332
Mitigação refere-se a uma configuração, configuração comum ou prática recomendada geral, existente em um estado padrão, que pode reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis em sua situação:
- As versões do Microsoft .NET Framework anteriores ao Microsoft .NET Framework 3.5 Service Pack 1 não são afetadas pela parte de divulgação de conteúdo de arquivo desta vulnerabilidade.
Soluções alternativas para a vulnerabilidade do Oracle de preenchimento ASP.NET - CVE-2010-3332
Solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente, mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as seguintes soluções alternativas e estados na discussão se uma solução alternativa reduz a funcionalidade:
Habilite uma regra UrlScan ou Filtragem de Solicitações, habilite ASP.NET erros personalizados e mapeie todos os códigos de erro para a mesma página de erro
Habilitar o recurso customErrors do ASP.NET e configurar explicitamente os aplicativos para sempre retornar a mesma página de erro, independentemente do erro encontrado no servidor, pode tornar mais difícil para um invasor usando a exploração atual distinguir entre os diferentes tipos de erros que ocorrem em um servidor.
Em sistemas que usam o .NET Framework versão 3.5 Service Pack 1 e superior, a solução alternativa fornece proteção adicional, ajudando também a proteger contra a parte de ataque de temporização da exploração atual. A solução alternativa usa a opção redirectMode="ResponseRewrite" no recurso customErrors e introduz um atraso aleatório na página de erro. Essas abordagens funcionam juntas para tornar mais difícil para um invasor deduzir o tipo de erro que ocorreu no servidor, medindo o tempo que levou para receber o erro.
Além disso, essa solução alternativa requer solicitações de bloqueio que especificam o caminho de erro do aplicativo na cadeia de caracteres de consulta. Isso pode ser feito usando o URLScan, uma ferramenta gratuita para o IIS (Serviços de Informações da Internet) que pode bloquear seletivamente solicitações com base em regras definidas pelo administrador. Se o sistema estiver executando o IIS (Serviços de Informações da Internet) no Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 ou Windows Server 2008 R2, você poderá usar o recurso Filtragem de Solicitações.
Bloquear solicitações que modificam ASP.Net caminho de erro do aplicativo na cadeia de caracteres de consulta de solicitação
Usando o UrlScan:
Baixe e instale o UrlScan 3.1. Para obter mais instruções sobre como configurar e usar o UrlScan, consulte UrlScan 3 Reference.
Modifique UrlScan.ini (encontrado em %windir%\system32\inetsrv\urlscan). Insira a seguinte linha na seção [DenyQueryStringSequences] do arquivo Urlscan.ini:
aspxerrorpath=
Depois de fazer isso, a seção [DenyQueryStringSequences] deve ser semelhante a isso (linhas adicionais na seção estão corretas e não afetam a solução alternativa):
[DenyQueryStringSequences] aspxerrorpath=
- Execute iisreset a partir de um prompt de comando enquanto estiver conectado como administrador.
Usando a filtragem de solicitação do IIS:
Essas instruções são uma alternativa para as instruções UrlScan acima para sistemas que executam o IIS no Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 ou Windows Server 2008 R2.
Instale o recurso Filtragem de Solicitações no IIS por meio de Adicionar ou Remover Programas ou Gerenciador de Funções selecionando o recurso em Serviços de Informações da Internet, Serviços da World Wide Web, Segurança.
Inicie o Gerenciador dos Serviços de Informações da Internet (IIS).
Selecione o nó do servidor no painel esquerdo.
Clique duas vezes em Filtragem de Solicitações.
Selecione a guia Cadeias de Caracteres de Consulta e clique em Negar Cadeia de Caracteres de Consulta ... no painel Ações .
Digite aspxerrorpath= na caixa de diálogo e selecione OK.
Como alternativa, você também pode usar o seguinte comando appcmd para definir essa cadeia de caracteres de consulta de solicitação:
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']
Para obter mais informações sobre como usar o appcmd para configurar o IIS, consulte Introdução ao AppCmd.exe.
Configurar aplicativos ASP.Net para usar erros personalizados uniformes
Na pasta raiz de cada aplicativo Web ASP.NET, determine se você já tem um arquivo web.config nessa pasta. Você deve ter direitos para criar um arquivo no diretório de destino para implementar essa solução alternativa.
Se o aplicativo ASP.NET não tiver um arquivo web.config:
No .NET Framework 3.5 e versões anteriores
- Crie um arquivo de texto chamado web.config na pasta raiz do aplicativo ASP.NET e insira o seguinte conteúdo:
<configuration>
2. Create a text file named **error.html** containing a generic error message and save it in the root folder of the ASP.NET application.
3. Alternatively, you can rename error.html in the **web.config** file to point to an existing error page, but that page must display generic content, not context-specific content.
**On .NET Framework 3.5 Service Pack 1 and later**
1. Create a text file named **web.config** in the root folder of the ASP.NET application, and insert the following contents:
```
<configuration>
```
2. If you are comfortable using C\#, we recommend using the following **ErrorPage.aspx** file:
```
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
```
```
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
```
```
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "https://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
```
```
<html xmlns="https://www.w3.org/1999/xhtml">