Boletim de Segurança
Microsoft Security Bulletin MS10-070 - Importante
Vulnerabilidade no ASP.NET pode permitir a divulgação não autorizada de informações (2418042)
Publicado: terça-feira, 28 de setembro de 2010 | Atualizado: October 26, 2011
Versão: 4.2
Informações Gerais
Resumo Executivo
Esta atualização de segurança elimina uma vulnerabilidade divulgada publicamente no ASP.NET. A vulnerabilidade pode permitir a divulgação de informações. Um intruso que conseguisse explorar esta vulnerabilidade poderia ler dados, tais como o estado de visualização, que foram encriptados pelo servidor. Esta vulnerabilidade também pode ser usada para adulteração de dados, que, se explorada com sucesso, pode ser usada para descriptografar e adulterar os dados criptografados pelo servidor. As versões do Microsoft .NET Framework anteriores ao Microsoft .NET Framework 3.5 Service Pack 1 não são afetadas pela parte de divulgação de conteúdo de arquivo desta vulnerabilidade.
Esta atualização de segurança é classificada como Importante para todas as edições com suporte do ASP.NET exceto Microsoft .NET Framework 1.0 Service Pack 3. Para obter mais informações, consulte a subseção Software afetado e não afetado, nesta seção.
A atualização de segurança elimina a vulnerabilidade assinando adicionalmente todos os dados criptografados pelo ASP.NET. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas freqüentes para a entrada de vulnerabilidade específica na próxima seção, Informações sobre a vulnerabilidade.
Esta atualização de segurança também elimina a vulnerabilidade descrita pela primeira vez no Comunicado de Segurança da Microsoft 2416728.
Recomendação. A Microsoft recomenda que os clientes apliquem a atualização o mais rápido possível.
Consulte também a seção Orientação e ferramentas de deteção e implantação, mais adiante neste boletim.
Problemas conhecidos.O Artigo 2418042 da Base de Dados de Conhecimento Microsoft documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização de segurança. O artigo também documenta as soluções recomendadas para esses problemas.
Software afetado e não afetado
O software a seguir foi testado para determinar quais versões ou edições são afetadas. Outras versões ou edições já passaram do seu ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida do suporte para a versão ou edição do software, visite o Ciclo de Vida do Suporte da Microsoft.
Software afetado
*Instalação Server Core afetada. Esta atualização aplica-se, com a mesma classificação de gravidade, às edições suportadas do Windows Server 2008 R2, conforme indicado, quer tenham ou não sido instaladas utilizando a opção de instalação Server Core. Para obter mais informações sobre essa opção de instalação, consulte os artigos do TechNet, Managing a Server Core Installation and Servicing a Server Core Installation. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar opções de instalação Server Core.
**Instalação Server Core não afetada. As vulnerabilidades abordadas por esta atualização não afetam as edições com suporte do Windows Server 2008, conforme indicado, quando instaladas usando a opção de instalação Server Core. Para obter mais informações sobre essa opção de instalação, consulte os artigos do TechNet, Managing a Server Core Installation and Servicing a Server Core Installation. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar opções de instalação Server Core.
[1]. NET Framework 4.0 Client Profile não afetado. Os pacotes redistribuíveis do .NET Framework versão 4 estão disponíveis em dois perfis: .NET Framework 4.0 e .NET Framework 4.0 Client Profile. O .NET Framework 4.0 Client Profile é um subconjunto do .NET Framework 4.0. A vulnerabilidade abordada nesta atualização afeta apenas o .NET Framework 4.0 e não o .NET Framework 4.0 Client Profile. Para obter mais informações, consulte: Instalando o .NET Framework.
Software não afetado
Sistema operativo | Componente |
---|---|
Microsoft .NET Framework 1.0 Service Pack 3 | |
Windows XP Service Pack 3 | Microsoft .NET Framework 1.0 Service Pack 3 (apenas Windows XP Media Center Edition 2005 e Windows XP Tablet PC Edition 2005) |
Microsoft .NET Framework 3.5.1 | |
Windows 7 para sistemas de 32 bits Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows 7 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Perguntas frequentes relacionadas a esta atualização de segurança
Por que este boletim foi revisado em 22 de fevereiro de 2011?
A Microsoft revisou este boletim de segurança para anunciar uma alteração de deteção para oferecer os pacotes de atualização do Microsoft .NET Framework 4.0 (KB2416472) para sistemas que executam o Windows 7 para sistemas de 32 bits Service Pack 1, Windows 7 para sistemas baseados em x64 Service Pack 1, Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 e Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1. Esta alteração de deteção aplica-se apenas aos clientes que instalam o Microsoft .NET Framework 4.0 depois de instalar o Windows 7 para sistemas de 32 bits Service Pack 1, Windows 7 para sistemas baseados em x64 Service Pack 1, Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 ou Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1. Os clientes que já atualizaram seus sistemas com sucesso não precisam tomar nenhuma medida.
Por que este boletim foi revisado em 14 de dezembro de 2010?
A Microsoft revisou este boletim de segurança para anunciar que novos pacotes de atualização estão disponíveis para o Microsoft .NET Framework 4.0 (KB2416472). Esses novos pacotes corrigem um problema na configuração que pode interferir na instalação bem-sucedida de outras atualizações. Para clientes que podem ter uma instalação de outro produto ou atualização que pode ter sido afetada por esse problema, consulte o artigo 2473228 da Base de Dados de Conhecimento Microsoft para obter informações adicionais. Os clientes que já atualizaram seus sistemas com sucesso não precisam tomar nenhuma medida.
Tenho o .NET Framework 3.0 Service Pack 2 instalado; Esta versão não está listada entre os softwares afetados neste boletim. Preciso instalar uma atualização?
Este boletim descreve uma vulnerabilidade nas camadas de recursos do .NET Framework 2.0 e do .NET Framework 3.5. O instalador do .NET Framework 3.0 Service Pack 2 é encadeado na instalação do .NET Framework 2.0 Service Pack 2, portanto, a instalação do primeiro também instala o segundo. Portanto, os clientes que têm o .NET Framework 3.0 Service Pack 2 instalado precisam instalar atualizações de segurança para o .NET Framework 2.0 Service Pack 2.
Tenho o .NET Framework 3.5 instalado. Preciso instalar atualizações adicionais?
Este boletim descreve uma vulnerabilidade nas camadas de recursos do .NET Framework 2.0 e do .NET Framework 3.5. O instalador do .NET Framework 3.5 é encadeado na instalação do .NET Framework 2.0 Service Pack 1 e na instalação do .NET Framework 3.0 Service Pack 1. Portanto, os clientes que têm o .NET Framework 3.5 instalado também precisam instalar atualizações de segurança para o .NET Framework 2.0 Service Pack 1, além das atualizações para o .NET Framework 3.5.
Para ajudar a determinar se existem versões adicionais do .NET Framework instaladas no seu sistema, consulte a entrada FAQ, "Como determino qual versão do Microsoft .NET Framework está instalada", mais adiante nesta seção.
Tenho o .NET Framework 3.5 Service Pack 1 instalado. Preciso instalar atualizações adicionais?
Este boletim descreve uma vulnerabilidade nas camadas de recursos do .NET Framework 2.0 e do .NET Framework 3.5. O instalador do .NET Framework 3.5 Service Pack 1 é encadeado na instalação do .NET Framework 2.0 Service Pack 2 e na instalação do .NET Framework 3.0 Service Pack 2. Portanto, os clientes que têm o .NET Framework 3.5 Service Pack 1 instalado também precisam instalar atualizações de segurança para o .NET Framework 2.0 Service Pack 2.
Para ajudar a determinar se existem versões adicionais do .NET Framework instaladas no seu sistema, consulte a entrada FAQ, "Como determino qual versão do Microsoft .NET Framework está instalada", mais adiante nesta seção.
Por que este boletim foi revisado em 30 de setembro de 2010?
A Microsoft revisou este boletim para anunciar que as atualizações agora estão disponíveis em todos os canais de distribuição, incluindo o Microsoft Update e o Windows Update. Além disso, foram também incluídos nesta revisão os seguintes esclarecimentos e correções:
- Foram feitas as seguintes correções na tabela Softwares afetados:
- A descrição do boletim para a atualização KB2418241 foi corrigida para incluir o .NET Framework 3.5 Service Pack 1 nos sistemas Windows XP e Windows Server 2003. Esta foi apenas uma alteração de boletim. Os clientes que instalaram com êxito a atualização KB2418241 não precisam reinstalar. Os clientes que executam o .NET Framework 3.5 Service Pack 1 em sistemas Windows XP ou Windows Server 2003 que não instalaram o KB2418241 de atualização devem aplicar a atualização o mais rápido possível, mesmo que já tenham aplicado o KB2416473 de atualização para o .NET Framework 3.5 Service Pack 1. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.
- A descrição do boletim para a atualização KB2416474 foi corrigida para incluir o .NET Framework 3.5 Service Pack 1 nos sistemas Windows Vista e Windows Server 2008. Esta foi apenas uma alteração de boletim. Os clientes que instalaram com êxito a atualização KB2416474 não precisam reinstalar. Os clientes que executam o .NET Framework 3.5 Service Pack 1 em sistemas Windows Vista ou Windows Server 2008 que não instalaram o KB2416474 de atualização devem aplicar a atualização o mais rápido possível, mesmo que já tenham aplicado o KB2416473 de atualização para o .NET Framework 3.5 Service Pack 1. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.
- A descrição do boletim para a atualização KB2416470 foi corrigida para incluir o Microsoft .NET Framework 3.5 e o Microsoft .NET Framework 3.5 Service Pack 1 nos sistemas Windows Vista e Windows Server 2008. Esta foi apenas uma alteração de boletim. Os clientes que instalaram com êxito a atualização KB2416470 não precisam reinstalar. Os clientes que executam o .NET Framework 3.5 e o Microsoft .NET Framework 3.5 Service Pack 1 em sistemas Windows Vista ou Windows Server 2008 que não instalaram o KB2416470 de atualização devem aplicar a atualização o mais rápido possível, mesmo que já tenham aplicado o KB2418240 de atualização para o .NET Framework 3.5 e o KB2416473 de atualização para o .NET Framework 3.5 Service Pack 1. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.
- A atualização KB2418240 foi listada como uma atualização adicional para o .NET Framework 3.5 para sistemas Windows XP, Windows Server 2003, Windows Vista Service Pack 1 e Windows Server 2008. Esta foi apenas uma alteração de boletim. Os clientes que instalaram com êxito a atualização KB2418240 não precisam reinstalar. Os clientes que executam o .NET Framework 3.5 em sistemas Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008 que não instalaram o Update KB2418240 devem aplicar a atualização o mais rápido possível, mesmo que já tenham aplicado uma atualização diferente para o .NET Framework 3.5. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.
- Adicionada a FAQ, "Como determino qual versão do Microsoft .NET Framework está instalada?" nesta seção.
- Adicionada a FAQ, "Há duas atualizações listadas para a versão do Microsoft .NET Framework instalado no meu sistema. Preciso instalar ambas as atualizações?" nesta seção.
- Adicionada a FAQ "Preciso de instalar estas atualizações de segurança numa sequência específica?" nesta secção.
Como determino qual versão do Microsoft .NET Framework está instalada?
Você pode instalar e executar várias versões do .NET Framework em um sistema e você pode instalar as versões em qualquer ordem. Há várias maneiras de determinar quais versões do .NET Framework estão instaladas no momento. Para obter mais informações, consulte o artigo 318785 da Base de Dados de Conhecimento Microsoft.
Há duas atualizações listadas para a versão do Microsoft .NET Framework instalado no meu sistema. Preciso instalar ambas as atualizações?
Sim. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.
Preciso de instalar estas atualizações de segurança numa sequência específica?
N.º Várias atualizações para uma versão do .NET Framework podem ser aplicadas em qualquer sequência. Recomendamos que várias atualizações para diferentes versões do .NET Framework sejam aplicadas em sequência do número de versão mais baixo para o mais alto, no entanto, essa sequência não é necessária.
Onde estão os detalhes das informações do arquivo?
Consulte as tabelas de referência na seção Implantação da Atualização de Segurança para obter o local dos detalhes das informações do arquivo.
Estou a utilizar uma versão mais antiga do software discutido neste boletim de segurança. O que devo fazer?
O software afetado listado neste boletim foi testado para determinar quais versões são afetadas. Outras versões já passaram do seu ciclo de vida de suporte. Para obter mais informações sobre o ciclo de vida do produto, visite o site do ciclo de vida do suporte da Microsoft.
Deve ser uma prioridade para os clientes que têm versões mais antigas do software migrar para versões suportadas para evitar a exposição potencial a vulnerabilidades. Para determinar o ciclo de vida do suporte para a versão do software, consulte Selecionar um produto para obter informações sobre o ciclo de vida. Para obter mais informações sobre service packs para essas versões de software, consulte Service packs suportados pelo ciclo de vida.
Os clientes que necessitem de suporte personalizado para software mais antigo devem contactar o representante da equipa da conta Microsoft, o Gestor Técnico de Conta ou o representante de parceiro Microsoft adequado para obter opções de suporte personalizadas. Os clientes sem um contrato Alliance, Premier ou Autorizado podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contacto, visite o Web site Microsoft Worldwide Information , selecione o país na lista Informações de Contacto e, em seguida, clique em Ir para ver uma lista de números de telefone. Quando ligar, peça para falar com o gerente de vendas local do Suporte Premier. Para obter mais informações, consulte as Perguntas frequentes sobre a Política de Ciclo de Vida do Suporte da Microsoft.
Informações de Vulnerabilidade
Classificações de gravidade e identificadores de vulnerabilidade
As seguintes classificações de gravidade assumem o potencial impacto máximo da vulnerabilidade. Para obter informações sobre a probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto na segurança, dentro de 30 dias após o lançamento deste boletim de segurança, consulte o Índice de Exploração no resumo de boletins de setembro. Para obter mais informações, consulte Microsoft Exploitability Index.
Software afetado | Vulnerabilidade de ASP.NET de preenchimento Oracle - CVE-2010-3332 | Classificação de gravidade agregada |
---|---|---|
Microsoft .NET Framework 1.1 Service Pack 1 | ||
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows XP Service Pack 3 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows XP Professional x64 Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 no Windows Server 2003 Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows Server 2003 x64 Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows Server 2003 Itanium-based Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows Vista Service Pack 1 e Windows Vista Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2** | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2** | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 quando instalado no Windows Server 2008 para sistemas baseados em Itanium e Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 | ||
Microsoft .NET Framework 2.0 Service Pack 1 no Windows Vista Service Pack 1 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 no Windows Vista x64 Edition Service Pack 1 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 no Windows Server 2008 para sistemas de 32 bits** | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 no Windows Server 2008 para sistemas baseados em x64** | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 no Windows Server 2008 para sistemas baseados em Itanium | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 | ||
Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Windows XP Service Pack 3 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Windows XP Professional x64 Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Windows Server 2003 Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Windows Server 2003 x64 Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Windows Server 2003 com SP2 para sistemas baseados em Itanium | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 no Windows Vista Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 no Windows Vista x64 Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para sistemas de 32 bits Service Pack 2** | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para sistemas baseados em x64 Service Pack 2** | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 | ||
Microsoft .NET Framework 3.5 quando instalado no Windows XP Service Pack 3 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows XP Professional x64 Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Server 2003 Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Server 2003 x64 Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Server 2003 com SP2 para sistemas baseados em Itanium | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Vista Service Pack 1 e Windows Vista Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Server 2008 para sistemas de 32 bits** | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Server 2008 para sistemas baseados em x64** | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 quando instalado no Windows Server 2008 para sistemas baseados em Itanium | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 | ||
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows XP Service Pack 3 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows XP Professional x64 Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2003 Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2003 x64 Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2003 com SP2 para sistemas baseados em Itanium | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Vista Service Pack 1 e Windows Vista Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2** | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2** | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 quando instalado no Windows Server 2008 para sistemas baseados em Itanium e Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5.1 | ||
Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas de 32 bits | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas baseados em x64 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em x64* | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em Itanium | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 4.0 | ||
Microsoft .NET Framework 4.0 no Windows XP Service Pack 3 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 4.0 no Windows XP Professional x64 Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2003 Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2003 x64 Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2003 com SP2 para sistemas baseados em Itanium | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Vista Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Vista x64 Edition Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2008 para sistemas de 32 bits Service Pack 2** | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2008 para sistemas baseados em x64 Service Pack 2** | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 4.0 no Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 4.0 no Windows 7 para sistemas baseados em x64 e Windows 7 para sistemas baseados em x64 Service Pack 1 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2008 R2 para sistemas baseados em x64 | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1* | Divulgação de informações importantes | Importante |
Microsoft .NET Framework 4.0 no Windows Server 2008 R2 para sistemas baseados em Itanium e Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 | Divulgação de informações importantes | Importante |
*Instalação Server Core afetada. Esta atualização aplica-se, com a mesma classificação de gravidade, às edições suportadas do Windows Server 2008 ou Windows Server 2008 R2, conforme indicado, quer tenham ou não sido instaladas utilizando a opção de instalação Server Core. Para obter mais informações sobre essa opção de instalação, consulte os artigos do TechNet, Managing a Server Core Installation and Servicing a Server Core Installation. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar opções de instalação Server Core.
**Instalação Server Core não afetada. As vulnerabilidades abordadas por esta atualização não afetam as edições com suporte do Windows Server 2008 ou Windows Server 2008 R2, conforme indicado, quando instaladas usando a opção de instalação Server Core. Para obter mais informações sobre essa opção de instalação, consulte os artigos do TechNet, Managing a Server Core Installation and Servicing a Server Core Installation. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar opções de instalação Server Core.
Vulnerabilidade de ASP.NET de preenchimento Oracle - CVE-2010-3332
Existe uma vulnerabilidade de divulgação não autorizada de informações no ASP.NET devido ao tratamento inadequado de erros durante a verificação de preenchimento de criptografia. Um intruso que conseguisse explorar esta vulnerabilidade poderia ler dados, tais como o estado de visualização, que foram encriptados pelo servidor. Esta vulnerabilidade também pode ser usada para adulteração de dados, que, se explorada com sucesso, pode ser usada para descriptografar e adulterar os dados criptografados pelo servidor. Observe que essa vulnerabilidade não permitiria que um invasor executasse código ou elevasse seus direitos de usuário diretamente, mas poderia ser usada para produzir informações que poderiam ser usadas para tentar comprometer ainda mais o sistema afetado. No Microsoft .NET Framework 3.5 Service Pack 1 e superior, esta vulnerabilidade também pode ser usada por um invasor para recuperar o conteúdo de qualquer arquivo dentro do aplicativo ASP.NET, incluindo web.config.
Para exibir esta vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2010-3332.
Fatores atenuantes da vulnerabilidade de ASP.NET de preenchimento Oracle - CVE-2010-3332
A atenuação refere-se a uma definição, configuração comum ou prática recomendada geral, existente num estado predefinido, que pode reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis na sua situação:
- As versões do Microsoft .NET Framework anteriores ao Microsoft .NET Framework 3.5 Service Pack 1 não são afetadas pela parte de divulgação de conteúdo de arquivo desta vulnerabilidade.
Soluções alternativas para a vulnerabilidade de ASP.NET de preenchimento Oracle - CVE-2010-3332
Solução alternativa refere-se a uma definição ou alteração de configuração que não corrige a vulnerabilidade subjacente, mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as seguintes soluções alternativas e estados na discussão se uma solução alternativa reduz a funcionalidade:
Habilite uma regra de UrlScan ou Filtragem de Solicitação, habilite erros personalizados ASP.NET e mapeie todos os códigos de erro para a mesma página de erro
Habilitar o recurso customErrors do ASP.NET e configurar explicitamente os aplicativos para sempre retornar a mesma página de erro, independentemente do erro encontrado no servidor, pode tornar mais difícil para um invasor que usa a exploração atual distinguir entre os diferentes tipos de erros que ocorrem em um servidor.
Em sistemas que usam o .NET Framework versão 3.5 Service Pack 1 e superior, a solução alternativa fornece proteção adicional, ajudando também a proteger contra a parte de ataque de tempo da exploração atual. A solução alternativa usa a opção redirectMode="ResponseRewrite" no recurso customErrors e introduz um atraso aleatório na página de erro. Essas abordagens funcionam juntas para tornar mais difícil para um invasor deduzir o tipo de erro que ocorreu no servidor, medindo o tempo que levou para receber o erro.
Além disso, essa solução alternativa requer o bloqueio de solicitações que especificam o caminho de erro do aplicativo na querystring. Isso pode ser feito usando o URLScan, uma ferramenta gratuita para o IIS (Serviços de Informações da Internet) que pode bloquear seletivamente solicitações com base em regras definidas pelo administrador. Se o seu sistema estiver executando o IIS (Serviços de Informações da Internet) no Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 ou Windows Server 2008 R2, você poderá usar alternativamente o recurso de Filtragem de Solicitações.
Bloquear solicitações que modificam ASP.Net caminho de erro do aplicativo na querystring de solicitação
Usando o UrlScan:
Baixe e instale o UrlScan 3.1. Para obter mais instruções sobre como configurar e usar o UrlScan, consulte Referência do UrlScan 3.
Modifique UrlScan.ini (encontrado em %windir%\system32\inetsrv\urlscan). Insira a seguinte linha na seção [DenyQueryStringSequences] do arquivo Urlscan.ini:
aspxerrorpath=
Depois de fazer isso, a seção [DenyQueryStringSequences] deve ser semelhante a esta (linhas adicionais na seção são aceitáveis e não afetam a solução alternativa):
[DenyQueryStringSequences] aspxerrorpath=
- Execute iisreset a partir de um prompt de comando enquanto estiver conectado como administrador.
Usando a filtragem de solicitação do IIS:
Estas instruções são uma alternativa para as instruções do UrlScan acima para sistemas que executam o IIS no Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 ou Windows Server 2008 R2.
Instale o recurso de Filtragem de Solicitações no IIS por meio de Adicionar ou Remover Programas ou Gerenciador de Funções, selecionando o recurso em Serviços de Informações da Internet, Serviços da World Wide Web, Segurança.
Inicie o Gerenciador dos Serviços de Informações da Internet (IIS).
Selecione o nó do servidor no painel esquerdo.
Clique duas vezes em Filtragem de Solicitações.
Selecione a guia Cadeias de Caracteres de Consulta e clique em Negar Cadeia de Caracteres de Consulta ... no painel Ações.
Digite aspxerrorpath= na caixa de diálogo e selecione OK.
Como alternativa, você também pode usar o seguinte comando appcmd para definir essa querystring de solicitação:
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']
Para obter mais informações sobre como usar o appcmd para configurar o IIS, consulte Introdução ao AppCmd.exe.
Configurar aplicativos ASP.Net para usar erros personalizados uniformes
Na pasta raiz de cada aplicativo Web ASP.NET, determine se você já tem um arquivo web.config nessa pasta. Você deve ter direitos para criar um arquivo no diretório de destino para implementar essa solução alternativa.
Se o aplicativo ASP.NET não tiver um arquivo web.config:
No .NET Framework 3.5 e versões anteriores
- Crie um arquivo de texto chamado web.config na pasta raiz do aplicativo ASP.NET e insira o seguinte conteúdo:
<configuration>
2. Create a text file named **error.html** containing a generic error message and save it in the root folder of the ASP.NET application.
3. Alternatively, you can rename error.html in the **web.config** file to point to an existing error page, but that page must display generic content, not context-specific content.
**On .NET Framework 3.5 Service Pack 1 and later**
1. Create a text file named **web.config** in the root folder of the ASP.NET application, and insert the following contents:
```
<configuration>
```
2. If you are comfortable using C\#, we recommend using the following **ErrorPage.aspx** file:
```
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
```
```
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
```
```
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "https://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
```
```
<html xmlns="https://www.w3.org/1999/xhtml">