Бюллетень по безопасности
Бюллетень по безопасности Майкрософт MS10-070 — важно
Уязвимость в ASP.NET может разрешить раскрытие информации (2418042)
Опубликовано: 28 сентября 2010 г. | Обновлено: 26 октября 2011 г.
Версия: 4.2
Общие сведения
Краткий обзор
Это обновление системы безопасности разрешает общедоступную уязвимость в ASP.NET. Уязвимость может разрешить раскрытие информации. Злоумышленник, успешно использующий эту уязвимость, может считывать данные, такие как состояние представления, зашифрованное сервером. Эта уязвимость также может использоваться для изменения данных, которые, если они успешно используются, можно использовать для расшифровки и изменения данных, зашифрованных сервером. Версии Microsoft платформа .NET Framework до Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 не затрагиваются частью раскрытия содержимого файла этой уязвимости.
Это обновление системы безопасности оценивается как важно для всех поддерживаемых выпусков ASP.NET, кроме Microsoft платформа .NET Framework 1.0 с пакетом обновления 3 (SP3). Дополнительные сведения см. в подразделе " Затронутое и не затронутое программное обеспечение" в этом разделе.
Обновление безопасности устраняет уязвимость, подписывая все данные, зашифрованные ASP.NET. Дополнительные сведения об уязвимости см. в подразделе часто задаваемых вопросов (часто задаваемых вопросов) для конкретной записи уязвимости в следующем разделе: сведения об уязвимостях.
Это обновление системы безопасности также устраняет уязвимость, описанную в 2416728 рекомендаций по безопасности Майкрософт.
Рекомендация. Корпорация Майкрософт рекомендует клиентам применять обновление при первой возможности.
См. также раздел, средства обнаружения и развертывания и рекомендации далее в этом бюллетене.
Известные проблемы.Статья базы знаний Майкрософт 2418042 документирует известные проблемы, которые могут возникнуть у клиентов при установке этого обновления безопасности. В этой статье также описаны рекомендуемые решения для этих проблем.
Затронутое и не затронутое программное обеспечение
Следующее программное обеспечение было проверено, чтобы определить, какие версии или выпуски затронуты. Другие версии или выпуски либо прошли жизненный цикл поддержки, либо не затрагиваются. Чтобы определить жизненный цикл поддержки для вашей версии или выпуска программного обеспечения, посетите служба поддержки Майкрософт жизненный цикл.
Затронутого программного обеспечения
Операционная система | Компонент | Максимальное влияние на безопасность | Оценка серьезности агрегата | Бюллетени, замененные этим обновлением |
---|---|---|---|---|
Windows XP | ||||
Windows XP с пакетом обновления 3 (SP3) | Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (КБ 2416447) | Раскрытие информации | Внимание | MS10-041 |
Windows XP с пакетом обновления 3 (SP3) | Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2418241) Майкрософт платформа .NET Framework 3.5 (КБ 2416468) Майкрософт платформа .NET Framework 3.5 (КБ 2418240) Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2416473) Microsoft платформа .NET Framework 4.0[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows XP Professional x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (КБ 2416447) | Раскрытие информации | Внимание | MS10-041 |
Windows XP Professional x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2418241) Майкрософт платформа .NET Framework 3.5 (КБ 2416468) Майкрософт платформа .NET Framework 3.5 (КБ 2418240) Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2416473) Microsoft платформа .NET Framework 4.0[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Server 2003 | ||||
Windows Server 2003 с пакетом обновления 2 | Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (КБ 2416451) Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2418241) Майкрософт платформа .NET Framework 3.5 (КБ 2416468) Microsoft платформа .NET Framework 3.5 (КБ 2418240) Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2416473) Майкрософт платформа .NET Framework 4.0[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Server 2003 x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (КБ 2416447) | Раскрытие информации | Внимание | MS10-041 |
Windows Server 2003 x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2418241) Майкрософт платформа .NET Framework 3.5 (КБ 2416468) Майкрософт платформа .NET Framework 3.5 (КБ 2418240) Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2416473) Microsoft платформа .NET Framework 4.0[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium | Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (КБ 2416447) | Раскрытие информации | Внимание | MS10-041 |
Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium | Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2418241) Майкрософт платформа .NET Framework 3.5 (КБ 2416468) Майкрософт платформа .NET Framework 3.5 (КБ 2418240) Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2416473) Microsoft платформа .NET Framework 4.0[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Vista | ||||
Windows Vista с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (КБ 2416447) Microsoft платформа .NET Framework 3.5 (КБ 2418240) Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2416473) Майкрософт платформа .NET Framework 4.0[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Vista с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 2.0 с пакетом обновления 1 (SP1) и Microsoft платформа .NET Framework 3.5 (КБ 2416469) Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) (КБ 2416474) | Раскрытие информации | Внимание | MS09-036 |
Windows Vista с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (КБ 2416447) Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2), Microsoft платформа .NET Framework 3.5 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) (КБ 2416470) Microsoft платформа .NET Framework 3.5 (КБ 2418240) Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2416473) Microsoft платформа .NET Framework 4.0[1]( КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Vista x64 Edition с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (КБ 2416447) Microsoft платформа .NET Framework 3.5 (КБ 2418240) Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2416473) Майкрософт платформа .NET Framework 4.0[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Vista x64 Edition с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 2.0 с пакетом обновления 1 (SP1) и Microsoft платформа .NET Framework 3.5 (КБ 2416469) Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) (КБ 2416474) | Раскрытие информации | Внимание | MS09-036 |
Windows Vista x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (КБ 2416447) Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2), Microsoft платформа .NET Framework 3.5 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) (КБ 2416470) Microsoft платформа .NET Framework 3.5 (КБ 2418240) Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2416473) Microsoft платформа .NET Framework 4.0[1]( КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Server 2008 | ||||
Windows Server 2008 для 32-разрядных систем | Microsoft платформа .NET Framework 1.1 с пакетом обновления 1** (КБ 2416447) Microsoft платформа .NET Framework 3.5** (КБ 2418240) Microsoft платформа .NET Framework 3.5 с пакетом обновления 1** (КБ 2416473) Майкрософт платформа .NET Framework 4.0**[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Server 2008 для 32-разрядных систем | Microsoft платформа .NET Framework 2.0 с пакетом обновления 1 и Microsoft платформа .NET Framework 3.5** (КБ 2416469) Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) ** (КБ 2416474) | Раскрытие информации | Внимание | MS09-036 |
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 | Microsoft платформа .NET Framework 1.1 с пакетом обновления 1** (КБ 2416447) Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2), Microsoft платформа .NET Framework 3.5 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1)** (КБ 2416470) Microsoft платформа .NET Framework 3.5** (КБ 2418240) Microsoft платформа .NET Framework 3.5 с пакетом обновления 1** (КБ 2416473) Microsoft платформа .NET Framework 4.0**[1]( КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Server 2008 для систем на основе x64 | Microsoft платформа .NET Framework 1.1 с пакетом обновления 1** (КБ 2416447) Microsoft платформа .NET Framework 3.5** (КБ 2418240) Microsoft платформа .NET Framework 3.5 с пакетом обновления 1** (КБ 2416473) Майкрософт платформа .NET Framework 4.0**[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Server 2008 для систем на основе x64 | Microsoft платформа .NET Framework 2.0 с пакетом обновления 1 и Microsoft платформа .NET Framework 3.5** (КБ 2416469) Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) ** (КБ 2416474) | Раскрытие информации | Внимание | MS09-036 |
Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 1.1 с пакетом обновления 1** (КБ 2416447) Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2), Microsoft платформа .NET Framework 3.5 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1)** (КБ 2416470) Microsoft платформа .NET Framework 3.5** (КБ 2418240) Microsoft платформа .NET Framework 3.5 с пакетом обновления 1** (КБ 2416473) Microsoft платформа .NET Framework 4.0**[1]( КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Server 2008 для систем на основе Itanium | Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (КБ 2416447) Microsoft платформа .NET Framework 3.5 (КБ 2418240) Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2416473) Майкрософт платформа .NET Framework 4.0[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Server 2008 для систем на основе Itanium | Microsoft платформа .NET Framework 2.0 с пакетом обновления 1 (SP1) и Microsoft платформа .NET Framework 3.5 (КБ 2416469) Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) (КБ 2416474) | Раскрытие информации | Внимание | MS09-036 |
Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (КБ 2416447) Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2), Microsoft платформа .NET Framework 3.5 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) (КБ 2416470) Microsoft платформа .NET Framework 3.5 (КБ 2418240) Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (КБ 2416473) Microsoft платформа .NET Framework 4.0[1]( КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows 7 | ||||
Windows 7 для 32-разрядных систем | Microsoft платформа .NET Framework 3.5.1 (КБ 2416471) Microsoft платформа .NET Framework 4.0[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 4.0[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows 7 для систем на основе x64 | Microsoft платформа .NET Framework 3.5.1 (КБ 2416471) Microsoft платформа .NET Framework 4.0[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 4.0[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Server 2008 R2 | ||||
Windows Server 2008 R2 для систем на основе x64 | Microsoft платформа .NET Framework 3.5.1* (КБ 2416471) Microsoft платформа .NET Framework 4.0[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 4.0*[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Server 2008 R2 for Itanium-based Systems | Microsoft платформа .NET Framework 3.5.1 (КБ 2416471) Microsoft платформа .NET Framework 4.0[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 4.0[1](КБ 2416472) | Раскрытие информации | Внимание | нет |
*Затронутые установки основных серверных компонентов. Это обновление применяется с той же оценкой серьезности, что и поддерживаемые выпуски Windows Server 2008 R2, как указано, независимо от того, установлены ли они с помощью параметра установки основных серверных компонентов. Дополнительные сведения об этом параметре установки см. в статьях TechNet, управлении установкойи обслуживанием основных серверных компонентов. Обратите внимание, что параметр установки основных серверных компонентов не применяется к определенным выпускам Windows Server 2008 и Windows Server 2008 R2; См. статью "Сравнение параметров установки основных серверных компонентов".
**Установка основных серверных компонентов не затронута. Уязвимости, устраненные этим обновлением, не влияют на поддерживаемые выпуски Windows Server 2008, как указано, при установке с помощью параметра установки основных серверных компонентов. Дополнительные сведения об этом параметре установки см. в статьях TechNet, управлении установкойи обслуживанием основных серверных компонентов. Обратите внимание, что параметр установки основных серверных компонентов не применяется к определенным выпускам Windows Server 2008 и Windows Server 2008 R2; См. статью "Сравнение параметров установки основных серверных компонентов".
[1]платформа .NET Framework профиль клиента 4.0 не затронут. Распространяемые пакеты платформа .NET Framework версии 4 доступны в двух профилях: платформа .NET Framework 4.0 и платформа .NET Framework 4.0 клиентского профиля. Профиль клиента платформа .NET Framework 4.0 — это подмножество платформа .NET Framework 4.0. Уязвимость, устраненная в этом обновлении, влияет только на платформа .NET Framework 4.0, а не на профиль клиента платформа .NET Framework 4.0. Дополнительные сведения см. в статье об установке платформа .NET Framework.
Не затронутое программное обеспечение
Операционная система | Компонент |
---|---|
Microsoft платформа .NET Framework 1.0 с пакетом обновления 3 | |
Windows XP с пакетом обновления 3 (SP3) | Microsoft платформа .NET Framework 1.0 с пакетом обновления 3 (только Windows XP Media Center Edition 2005 и Windows XP Tablet PC Edition 2005) |
Microsoft .NET Framework 3.5.1 | |
Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) | Microsoft .NET Framework 3.5.1 |
Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft .NET Framework 3.5.1 |
Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft .NET Framework 3.5.1 |
Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1) | Microsoft .NET Framework 3.5.1 |
Часто задаваемые вопросы и ответы, связанные с этим обновлением системы безопасности
Почему этот бюллетень был изменен 22 февраля 2011 года?
Корпорация Майкрософт пересмотрела этот бюллетень по безопасности, чтобы сообщить об изменении обнаружения, чтобы предложить пакеты обновления Microsoft платформа .NET Framework 4.0 (КБ 2416472) для систем под управлением Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1), Windows 7 для систем с пакетом обновления 1 (SP1), Windows Server 2008 R2 для систем на основе x64 и Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1) и Windows Server 2008 R2 для систем на основе Itanium. Это изменение обнаружения применяется только к клиентам, которые устанавливают Microsoft платформа .NET Framework 4.0 после установки Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1), Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1), Windows Server 2008 R2 для систем на основе x64 или Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1). Клиентам, которые уже успешно обновили свои системы, не нужно предпринимать никаких действий.
Почему этот бюллетень был изменен 14 декабря 2010 г.?
Корпорация Майкрософт пересмотрела этот бюллетень по безопасности, чтобы сообщить о том, что новые пакеты обновления доступны для Microsoft платформа .NET Framework 4.0 (КБ 2416472). Эти новые пакеты исправляют проблему в установке, которая может препятствовать успешной установке других обновлений. Для клиентов, которые могут иметь установку другого продукта или обновления, которые могли повлиять на эту проблему, см . статью базы знаний Майкрософт 2473228 для получения дополнительных сведений. Клиентам, которые уже успешно обновили свои системы, не нужно предпринимать никаких действий.
У меня установлена платформа .NET Framework 3.0 с пакетом обновления 2 (SP2), эта версия не указана среди затронутого программного обеспечения в этом бюллетене. Нужно ли установить обновление?
В этом бюллетене описывается уязвимость в платформа .NET Framework 2.0 и платформа .NET Framework уровнях компонентов 3.5. Установщик платформа .NET Framework 3.0 с пакетом обновления 2 (SP2) в платформа .NET Framework 2.0 с пакетом обновления 2 (SP2), поэтому установка первого также устанавливает последний. Таким образом, для платформа .NET Framework 3.0 с пакетом обновления 2 (SP2) необходимо установить обновления системы безопасности для платформа .NET Framework 2.0 с пакетом обновления 2 .
У меня установлен платформа .NET Framework 3.5. Нужно ли устанавливать дополнительные обновления?
В этом бюллетене описывается уязвимость в платформа .NET Framework 2.0 и платформа .NET Framework уровнях компонентов 3.5. Цепочки установщика платформа .NET Framework 3.5 в платформа .NET Framework 2.0 с пакетом обновления 1 (SP1) и платформа .NET Framework 3.0 с пакетом обновления 1 (SP1). Поэтому клиентам, которые установили платформа .NET Framework 3.5, также необходимо установить обновления системы безопасности для платформа .NET Framework 2.0 с пакетом обновления 1 (SP1) в дополнение к обновлениям для платформа .NET Framework 3.5.
Чтобы определить наличие дополнительных версий платформа .NET Framework, установленных в вашей системе, см. статью "Вопросы и ответы о том, Разделы справки определить, какая версия microsoft платформа .NET Framework установлена", далее в этом разделе.
Установлено платформа .NET Framework 3.5 с пакетом обновления 1 (SP1). Нужно ли устанавливать дополнительные обновления?
В этом бюллетене описывается уязвимость в платформа .NET Framework 2.0 и платформа .NET Framework уровнях компонентов 3.5. Установщик платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) в платформа .NET Framework 2.0 с пакетом обновления 2 и платформа .NET Framework 3.0 с пакетом обновления 2 . Таким образом, клиентам, имеющим платформа .NET Framework 3.5 с пакетом обновления 1 (SP1), также необходимо установить обновления системы безопасности для платформа .NET Framework 2.0 с пакетом обновления 2 (SP2).
Чтобы определить наличие дополнительных версий платформа .NET Framework, установленных в вашей системе, см. статью "Вопросы и ответы о том, Разделы справки определить, какая версия microsoft платформа .NET Framework установлена", далее в этом разделе.
Почему этот бюллетень был изменен 30 сентября 2010 г.?
Корпорация Майкрософт пересмотрела этот бюллетень, чтобы сообщить о том, что обновления теперь доступны во всех каналах распространения, включая Центр обновления Майкрософт и Обновл. Windows. Кроме того, в эту редакцию также были включены следующие уточнения и исправления:
- Внесли следующие исправления в таблицу затронутого программного обеспечения:
- Описание бюллетеня для обновления КБ 2418241 исправлено, чтобы включить платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) в системах Windows XP и Windows Server 2003. Это было только изменение бюллетеня. Клиенты, которые успешно установили обновление, КБ 2418241 не нужно переустановить. Клиенты, работающие платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) в системах Windows XP или Windows Server 2003, которые не установили КБ 2418241 обновлений, должны применять обновление при первой возможности, даже если они уже применили обновление КБ 2416473 для платформа .NET Framework 3.5 с пакетом обновления 1 (SP1). Клиенты должны применять все обновления, предлагаемые для программного обеспечения, установленного в своих системах.
- Описание бюллетеня для обновления КБ 2416474 исправлено, чтобы включить платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) в системах Windows Vista и Windows Server 2008. Это было только изменение бюллетеня. Клиенты, которые успешно установили обновление, КБ 2416474 не нужно переустановить. Клиенты, работающие платформа .NET Framework версии 3.5 с пакетом обновления 1 (SP1) в системах Windows Vista или Windows Server 2008, которые не установили обновления КБ 2416474, должны применять обновление при первой возможности, даже если они уже применили КБ 2416473 обновления для платформа .NET Framework 3.5 с пакетом обновления 1 ( SP1). Клиенты должны применять все обновления, предлагаемые для программного обеспечения, установленного в своих системах.
- Описание бюллетеня для обновления КБ 2416470 было исправлено, чтобы включить Microsoft платформа .NET Framework 3.5 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) в системах Windows Vista и Windows Server 2008. Это было только изменение бюллетеня. Клиенты, которые успешно установили обновление, КБ 2416470 не нужно переустановить. Клиенты, работающие платформа .NET Framework 3.5 и Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) в системах Windows Vista или Windows Server 2008, которые не установили обновления КБ 2416470, должны применять обновление при самой ранней возможности, даже если они уже применили обновление КБ 2418240 платформа .NET Framework 3.5 и обновление КБ 2416473 для платформа .NET Framework 3.5 с пакетом обновления 1 (SP1). Клиенты должны применять все обновления, предлагаемые для программного обеспечения, установленного в своих системах.
- Обновление КБ 2418240 было указано в качестве дополнительного обновления для платформа .NET Framework 3.5 для Windows XP, Windows Server 2003, Windows Vista с пакетом обновления 1 и windows Server 2008. Это было только изменение бюллетеня. Клиенты, которые успешно установили обновление, КБ 2418240 не нужно переустановить. Клиенты, работающие платформа .NET Framework 3.5 в Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008, которые не установили обновления КБ 2418240, должны применять обновление при первой возможности, даже если они уже применили другое обновление для платформа .NET Framework 3.5. Клиенты должны применять все обновления, предлагаемые для программного обеспечения, установленного в своих системах.
- Добавлены вопросы и ответы о том, что Разделы справки определить, какая версия microsoft платформа .NET Framework установлена?" в этом разделе.
- Добавлены вопросы и ответы: "Существует два обновления, перечисленные для версии Microsoft платформа .NET Framework, установленной в моей системе. Необходимо ли установить оба обновления?" в этом разделе.
- Добавлены вопросы и ответы о том, "Нужно ли устанавливать эти обновления безопасности в определенной последовательности?" в этом разделе.
Разделы справки определить, какая версия microsoft платформа .NET Framework установлена?
Вы можете установить и запустить несколько версий платформа .NET Framework в системе и установить версии в любом порядке. Существует несколько способов определить, какие версии платформа .NET Framework установлены в настоящее время. Дополнительные сведения см. в статье базы знаний Майкрософт 318785.
Существует два обновления, перечисленные в версии Microsoft платформа .NET Framework, установленной в моей системе. Нужно ли устанавливать оба обновления?
Да. Клиенты должны применять все обновления, предлагаемые для программного обеспечения, установленного в своих системах.
Необходимо ли установить эти обновления безопасности в определенной последовательности?
№ Несколько обновлений для одной версии платформа .NET Framework можно применить в любой последовательности. Рекомендуется применять несколько обновлений для разных версий платформа .NET Framework в последовательности от минимального номера версии до самого высокого, однако эта последовательность не требуется.
Где указаны сведения о файле?
Дополнительные сведения о файле см. в справочных таблицах в разделе "Развертывание обновления безопасности".
Я использую старый выпуск программного обеспечения, рассмотренного в этом бюллетене по безопасности. Что делать?
Затронутые программы, перечисленные в этом бюллетене, были проверены, чтобы определить, какие выпуски затронуты. Другие выпуски прошли жизненный цикл поддержки. Дополнительные сведения о жизненном цикле продукта см. на веб-сайте служба поддержки Майкрософт жизненного цикла.
Это должно быть приоритетом для клиентов, имеющих старые выпуски программного обеспечения для миграции на поддерживаемые выпуски, чтобы предотвратить потенциальное воздействие уязвимостей. Чтобы определить жизненный цикл поддержки для выпуска программного обеспечения, см. раздел "Выбор продукта для сведений о жизненном цикле". Дополнительные сведения о пакетах обновления для этих выпусков программного обеспечения см. в разделе "Поддерживаемые жизненным циклом пакеты обновления".
Клиенты, которым требуется пользовательская поддержка более старого программного обеспечения, должны обратиться к своему представителю группы учетных записей Майкрософт, менеджеру технической учетной записи или соответствующему представителю партнера Майкрософт для пользовательских вариантов поддержки. Клиенты без альянса, Premier или авторизованного контракта могут связаться со своим местным офисом продаж Майкрософт. Для получения контактных данных посетите веб-сайт Microsoft Worldwide Information , выберите страну в списке контактных данных, а затем нажмите кнопку "Перейти ", чтобы просмотреть список телефонных номеров. При вызове попросите поговорить с местным менеджером по продажам в службу поддержки Premier. Дополнительные сведения см. в разделе "Часто задаваемые вопросы о политике жизненного цикла служба поддержки Майкрософт".
Сведения об уязвимостях
Оценки серьезности и идентификаторы уязвимостей
Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке по индексу эксплойтации в сентябрьских бюллетенях. Дополнительные сведения см. в разделе "Индекс эксплойтации Майкрософт".
Затронутого программного обеспечения | уязвимость Oracle ASP.NET с заполнением — CVE-2010-3332 | Оценка серьезности агрегата |
---|---|---|
Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (SP1) | ||
Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (SP1) при установке в Windows XP с пакетом обновления 3 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (SP1) при установке в Windows XP Professional x64 Edition с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (SP1) в Windows Server 2003 с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (SP1) при установке в Windows Server 2003 x64 Edition с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (SP1) при установке в Windows Server 2003 с пакетом обновления 2 (SP2) | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (SP1) при установке в Windows Vista с пакетом обновления 1 и Windows Vista с пакетом обновления 2 (SP2) | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (SP1) при установке в Windows Vista x64 Edition с пакетом обновления 1 и Windows Vista x64 Edition с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (SP1) при установке в Windows Server 2008 для 32-разрядных систем и Windows Server 2008 для 32-разрядных систем с пакетом обновления 2** | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (SP1) при установке в Windows Server 2008 для систем на основе x64 и Windows Server 2008 для систем на основе x64** | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 1.1 с пакетом обновления 1 (SP1) при установке в Windows Server 2008 для систем на основе Itanium и Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (SP2) | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 2.0 с пакетом обновления 1 (SP1) | ||
Microsoft платформа .NET Framework 2.0 с пакетом обновления 1 (SP1) в Windows Vista с пакетом обновления 1 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 2.0 с пакетом обновления 1 (SP1) в Windows Vista x64 Edition с пакетом обновления 1 (SP1) | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 2.0 с пакетом обновления 1 (SP1) в Windows Server 2008 для 32-разрядных систем** | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 2.0 с пакетом обновления 1 (SP1) в Windows Server 2008 для систем на основе x64** | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 2.0 с пакетом обновления 1 (SP1) в Windows Server 2008 для систем на основе Itanium | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2) | ||
Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 при установке в Windows XP с пакетом обновления 3 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2) при установке в Windows XP Professional x64 Edition с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2) при установке в Windows Server 2003 с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2) при установке в Windows Server 2003 x64 Edition с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2) при установке в Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2) в Windows Vista с пакетом обновления 2 (SP2) | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2) в Windows Vista x64 Edition с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2) в Windows Server 2008 для 32-разрядных систем с пакетом обновления 2** | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2) в Windows Server 2008 для систем на основе x64** | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2) в Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (SP2) | Важное раскрытие информации | Важно! |
Платформа Microsoft .NET Framework 3.5 | ||
Microsoft платформа .NET Framework 3.5 при установке в Windows XP с пакетом обновления 3 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 при установке в Windows XP Professional x64 Edition с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 при установке в Windows Server 2003 с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 при установке в Windows Server 2003 x64 Edition с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 при установке в Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 при установке в Windows Vista с пакетом обновления 1 и Windows Vista с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 при установке в Windows Vista x64 Edition с пакетом обновления 1 (SP1) и Windows Vista x64 Edition с пакетом обновления 2 (SP2) | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 при установке в Windows Server 2008 для 32-разрядных систем** | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 при установке в Windows Server 2008 для систем на основе x64** | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 при установке в Windows Server 2008 для систем на основе Itanium | Важное раскрытие информации | Важно! |
Microsoft .NET Framework 3.5 с пакетом обновления 1 (SP1) | ||
Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) при установке в Windows XP с пакетом обновления 3 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) при установке в Windows XP Professional x64 Edition с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) при установке в Windows Server 2003 с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) при установке в Windows Server 2003 x64 Edition с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) при установке в Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 при установке в Windows Vista с пакетом обновления 1 и Windows Vista с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) при установке в Windows Vista x64 Edition с пакетом обновления 1 и Windows Vista x64 Edition с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) при установке в Windows Server 2008 для 32-разрядных систем и Windows Server 2008 для 32-разрядных систем с пакетом обновления 2** | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) при установке в Windows Server 2008 для систем на основе x64 и Windows Server 2008 для систем на основе x64** | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 (SP1) при установке в Windows Server 2008 для систем на основе Itanium и Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (SP2) | Важное раскрытие информации | Важно! |
Microsoft .NET Framework 3.5.1 | ||
Microsoft платформа .NET Framework 3.5.1 в Windows 7 для 32-разрядных систем | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5.1 в Windows 7 для систем на основе x64 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5.1 в Windows Server 2008 R2 для систем на основе x64* | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 3.5.1 в Windows Server 2008 R2 для систем на основе Itanium | Важное раскрытие информации | Важно! |
Платформа Microsoft .NET Framework 4.0. | ||
Microsoft платформа .NET Framework 4.0 в Windows XP с пакетом обновления 3 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 4.0 в Windows XP Professional x64 Edition с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 4.0 в Windows Server 2003 с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 4.0 в Windows Server 2003 x64 Edition с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 4.0 в Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 4.0 в Windows Vista с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 4.0 в Windows Vista x64 Edition с пакетом обновления 2 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 4.0 в Windows Server 2008 для 32-разрядных систем с пакетом обновления 2** | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 4.0 в Windows Server 2008 для систем на основе x64 с пакетом обновления 2** | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 4.0 в Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (SP2) | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 4.0 в Windows 7 для 32-разрядных систем и Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 4.0 в Windows 7 для систем x64 и Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 4.0 в Windows Server 2008 R2 для систем на основе x64 | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 4.0 в Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 * | Важное раскрытие информации | Важно! |
Microsoft платформа .NET Framework 4.0 в Windows Server 2008 R2 для систем на основе Itanium и Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1) | Важное раскрытие информации | Важно! |
*Затронутые установки основных серверных компонентов. Это обновление применяется с той же оценкой серьезности, что и поддерживаемые выпуски Windows Server 2008 или Windows Server 2008 R2, как указано, независимо от того, установлена ли установка основных серверных компонентов. Дополнительные сведения об этом параметре установки см. в статьях TechNet, управлении установкойи обслуживанием основных серверных компонентов. Обратите внимание, что параметр установки основных серверных компонентов не применяется к определенным выпускам Windows Server 2008 и Windows Server 2008 R2; См. статью "Сравнение параметров установки основных серверных компонентов".
**Установка основных серверных компонентов не затронута. Уязвимости, устраненные этим обновлением, не влияют на поддерживаемые выпуски Windows Server 2008 или Windows Server 2008 R2, как указано, при установке с помощью параметра установки основных серверных компонентов. Дополнительные сведения об этом параметре установки см. в статьях TechNet, управлении установкойи обслуживанием основных серверных компонентов. Обратите внимание, что параметр установки основных серверных компонентов не применяется к определенным выпускам Windows Server 2008 и Windows Server 2008 R2; См. статью "Сравнение параметров установки основных серверных компонентов".
уязвимость Oracle ASP.NET с заполнением — CVE-2010-3332
Уязвимость раскрытия информации существует в ASP.NET из-за неправильной обработки ошибок во время проверки заполнения шифрования. Злоумышленник, успешно использующий эту уязвимость, может считывать данные, такие как состояние представления, зашифрованное сервером. Эта уязвимость также может использоваться для изменения данных, которые, если они успешно используются, можно использовать для расшифровки и изменения данных, зашифрованных сервером. Обратите внимание, что эта уязвимость не позволит злоумышленнику выполнять код или напрямую повысить свои права пользователя, но его можно использовать для создания информации, которую можно использовать для дальнейшего компрометации затронутой системы. В Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 и выше эта уязвимость также может использоваться злоумышленником для получения содержимого любого файла в приложении ASP.NET, включая web.config.
Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2010-3332.
Смягчающие факторы для уязвимости Oracle ASP.NET padding Oracle — CVE-2010-3332
Устранение рисков ссылается на параметр, общую конфигурацию или общую рекомендацию, существующую в состоянии по умолчанию, которая может снизить серьезность эксплуатации уязвимости. В вашей ситуации могут оказаться полезными следующие факторы устранения рисков:
- Версии Microsoft платформа .NET Framework до Microsoft платформа .NET Framework 3.5 с пакетом обновления 1 не затрагиваются частью раскрытия содержимого файла этой уязвимости.
Обходные решения для уязвимостей Oracle ASP.NET с заполнением — CVE-2010-3332
Решение относится к изменению параметра или конфигурации, которое не исправляет базовую уязвимость, но поможет заблокировать известные векторы атак перед применением обновления. Корпорация Майкрософт проверила следующие обходные пути и состояния в обсуждении, сокращает ли решение функциональные возможности:
Включение правила фильтрации URLScan или запроса, включение пользовательских ошибок ASP.NET и сопоставление всех кодов ошибок с одной и той же страницей ошибок
Включение функции customErrors ASP.NET и явной настройки приложений для возврата одной и той же страницы ошибок, независимо от ошибки, обнаруженной на сервере, может затруднить злоумышленника, используя текущую эксплойту, чтобы различать различные типы ошибок, возникающих на сервере.
В системах с помощью платформа .NET Framework версии 3.5 с пакетом обновления 1 и более поздних версий обходной путь обеспечивает дополнительную защиту, помогая защитить от атак времени текущей эксплойт. Решение использует параметр redirectMode="ResponseRewrite" в функции customErrors и представляет случайную задержку на странице ошибки. Эти подходы работают вместе, чтобы сделать злоумышленника более сложным для вывода типа ошибки, возникшим на сервере, измеряя время, за которое потребовалось получить ошибку.
Кроме того, для этого обходного решения требуются блокирующие запросы, указывающие путь ошибки приложения к запросу. Это можно сделать с помощью URLScan, бесплатного средства для службы IIS (IIS), которое может выборочно блокировать запросы на основе правил, определенных администратором. Если система работает службы IIS (IIS) в Windows Vista с пакетом обновления 2, Windows Server 2008 с пакетом обновления 2, Windows 7 или Windows Server 2008 R2, можно также использовать функцию фильтрации запросов.
Блокировать запросы, изменяющие путь ошибки приложения ASP.Net в запросе
Использование UrlScan:
Скачайте и установите UrlScan 3.1. Дополнительные инструкции по настройке и использованию UrlScan см. в справочнике по UrlScan 3.
Измените UrlScan.ini (найдено в %windir%\system32\inetsrv\urlscan). Вставьте следующую строку в раздел [DenyQueryStringSequences] файла Urlscan.ini:
aspxerrorpath=
После этого раздел [DenyQueryStringSequences] должен выглядеть примерно так (дополнительные строки в разделе хорошо и не влияют на обходное решение):
[DenyQueryStringSequences] aspxerrorpath=
- Запустите iisreset из командной строки во время входа в систему от имени администратора.
Использование фильтрации запросов IIS:
Эти инструкции являются альтернативой приведенным выше инструкциям UrlScan для систем под управлением IIS в Windows Vista с пакетом обновления 2, Windows Server 2008 с пакетом обновления 2, Windows 7 или Windows Server 2008 R2.
Установите функцию фильтрации запросов в службах IIS с помощью добавления и удаления программ или управления ролью, выбрав функцию в разделе службы IIS, Веб-службы World Wide, Безопасность.
Запустите диспетчер службы IIS (IIS).
Выберите узел сервера в левой области.
Дважды щелкните фильтрацию запросов.
Перейдите на вкладку "Строки запроса" и нажмите кнопку "Запретить строку запроса" напанели "Действия ".
В диалоговом окне введите aspxerrorpath= и нажмите кнопку "ОК".
Кроме того, можно использовать следующую команду appcmd, чтобы задать эту строку запроса:
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']
Дополнительные сведения об использовании appcmd для настройки IIS см. в статье "Начало работы с AppCmd.exe".
Настройка приложений ASP.Net для использования универсальных пользовательских ошибок
В корневой папке каждого веб-приложения ASP.NET определите, есть ли файл web.config в этой папке. Для реализации этого обходного решения необходимо иметь права на создание файла в целевом каталоге.
Если у приложения ASP.NET нет файла конфигурации web.config:
На платформа .NET Framework 3.5 и более ранних версий
- Создайте текстовый файл с именем web.config в корневой папке приложения ASP.NET и вставьте следующее содержимое:
<configuration>
2. Create a text file named **error.html** containing a generic error message and save it in the root folder of the ASP.NET application.
3. Alternatively, you can rename error.html in the **web.config** file to point to an existing error page, but that page must display generic content, not context-specific content.
**On .NET Framework 3.5 Service Pack 1 and later**
1. Create a text file named **web.config** in the root folder of the ASP.NET application, and insert the following contents:
```
<configuration>
```
2. If you are comfortable using C\#, we recommend using the following **ErrorPage.aspx** file:
```
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
```
```
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
```
```
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "https://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
```
```
<html xmlns="https://www.w3.org/1999/xhtml">