Güvenlik Bülteni
Microsoft Güvenlik Bülteni MS10-070 - Önemli
ASP.NET'daki Güvenlik Açığı Bilgilerin Açığa Çıkmasına İzin Verebilir (2418042)
Yayımlanma Tarihi: 28 Eylül 2010 | Güncelleştirme: 26 Ekim 2011
Sürüm: 4.2
Genel Bilgiler
Yönetici Özeti
Bu güvenlik güncelleştirmesi, ASP.NET'da herkese açık bir güvenlik açığını giderir. Güvenlik açığı bilgilerin açığa çıkmasına izin verebilir. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, sunucu tarafından şifrelenen görünüm durumu gibi verileri okuyabilir. Bu güvenlik açığı, başarıyla kötüye kullanıldığında sunucu tarafından şifrelenen verilerin şifresini çözmek ve üzerinde değişiklik yapmak için kullanılabilen veri kurcalama için de kullanılabilir. Microsoft .NET Framework 3.5 Service Pack 1'den önceki Microsoft .NET Framework sürümleri, bu güvenlik açığının dosya içeriğinin açığa çıkması bölümünden etkilenmez.
Bu güvenlik güncelleştirmesi, Microsoft .NET Framework 1.0 Service Pack 3 dışında desteklenen tüm ASP.NET sürümleri için Önemli olarak derecelendirilmiştir. Daha fazla bilgi için bu bölümdeki Etkilenen ve Etkilenmeyen Yazılımlar alt bölümüne bakın.
Güvenlik güncelleştirmesi, ASP.NET tarafından şifrelenen tüm verileri ek olarak imzalayarak bu güvenlik açığını giderir. Güvenlik açığı hakkında daha fazla bilgi için, sonraki Güvenlik Açığı Bilgileri bölümünün altındaki belirli bir güvenlik açığı girdisi için Sık Sorulan Sorular (SSS) alt bölümüne bakın.
Bu güvenlik güncelleştirmesi, ilk olarak Microsoft Güvenlik Önerisi 2416728 açıklanan güvenlik açığını da giderir.
Öneri. Microsoft, müşterilerin güncelleştirmeyi en erken fırsatta uygulamasını önerir.
Ayrıca, bu bültenin devamında yer alan Algılama ve Dağıtım Araçları ve Kılavuzu bölümüne de bakın.
Bilinen Sorunlar.Microsoft Bilgi Bankası makalesi 2418042 , müşterilerin bu güvenlik güncelleştirmesini yüklerken karşılaşabileceği bilinen sorunları belgelemektedir. Makalede ayrıca bu sorunlar için önerilen çözümler belgelenmiştir.
Etkilenen ve Etkilenmeyen Yazılımlar
Aşağıdaki yazılımlar hangi sürümlerin veya sürümlerin etkilendiğini belirlemek için test edilmiştir. Diğer sürümler veya sürümler destek yaşam döngüsünü geçmiştir veya etkilenmez. Yazılım sürümünüz veya sürümünüz için destek yaşam döngüsünü belirlemek için Microsoft Desteği Yaşam Döngüsü'ne bakın.
Etkilenen Yazılım
İşletim Sistemi | Bileşen | En Yüksek Güvenlik Etkisi | Toplam Önem Derecesi | Bültenler Bu Güncelleştirmeyle Değiştirildi |
---|---|---|---|---|
Windows XP | ||||
Windows XP Hizmet Paketi 3 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | MS10-041 |
Windows XP Hizmet Paketi 3 | Microsoft .NET Framework 2.0 Service Pack 2 ve Microsoft .NET Framework 3.5 Service Pack 1 (KB2418241) Microsoft .NET Framework 3.5 (KB2416468) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
Windows XP Professional x64 Edition Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | MS10-041 |
Windows XP Professional x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 ve Microsoft .NET Framework 3.5 Service Pack 1 (KB2418241) Microsoft .NET Framework 3.5 (KB2416468) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
Windows Server 2003 | ||||
Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416451) Microsoft .NET Framework 2.0 Service Pack 2 ve Microsoft .NET Framework 3.5 Service Pack 1 (KB2418241) Microsoft .NET Framework 3.3.25 (KB2416468) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | MS10-041 |
Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 ve Microsoft .NET Framework 3.5 Service Pack 1 (KB2418241) Microsoft .NET Framework 3.5 (KB2416468) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
Itanium Tabanlı Sistemler için Windows Server 2003 SP2 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | MS10-041 |
Itanium Tabanlı Sistemler için Windows Server 2003 SP2 | Microsoft .NET Framework 2.0 Service Pack 2 ve Microsoft .NET Framework 3.5 Service Pack 1 (KB2418241) Microsoft .NET Framework 3.5 (KB2416468) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
Windows Vista | ||||
Windows Vista Service Pack 1 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
Windows Vista Service Pack 1 | Microsoft .NET Framework 2.0 Service Pack 1 ve Microsoft .NET Framework 3.5 (KB2416469) Microsoft .NET Framework 2.0 Service Pack 2 ve Microsoft .NET Framework 3.5 Service Pack 1 (KB2416474) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | MS09-036 |
Windows Vista Hizmet Paketi 2 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5 ve Microsoft .NET Framework 3.5 Service Pack 1 (KB2416470) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
Windows Vista x64 Edition Service Pack 1 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
Windows Vista x64 Edition Service Pack 1 | Microsoft .NET Framework 2.0 Service Pack 1 ve Microsoft .NET Framework 3.5 (KB2416469) Microsoft .NET Framework 2.0 Service Pack 2 ve Microsoft .NET Framework 3.5 Service Pack 1 (KB2416474) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | MS09-036 |
Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5 ve Microsoft .NET Framework 3.5 Service Pack 1 (KB2416470) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
Windows Server 2008 | ||||
32 bit Sistemler için Windows Server 2008 | Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447) Microsoft .NET Framework 3.5** (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473) Microsoft .NET Framework 4.0**[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
32 bit Sistemler için Windows Server 2008 | Microsoft .NET Framework 2.0 Service Pack 1 ve Microsoft .NET Framework 3.5** (KB2416469) Microsoft .NET Framework 2.0 Service Pack 2 ve Microsoft .NET Framework 3.5 Service Pack 1** (KB2416474) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | MS09-036 |
32 bit Sistemler için Windows Server 2008 Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447) Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5 ve Microsoft .NET Framework 3.5 Service Pack 1** (KB2416470) Microsoft .NET Framework 3.5** (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473) Microsoft .NET Framework 4.0**[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
x64 Tabanlı Sistemler için Windows Server 2008 | Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447) Microsoft .NET Framework 3.5** (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473) Microsoft .NET Framework 4.0**[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
x64 Tabanlı Sistemler için Windows Server 2008 | Microsoft .NET Framework 2.0 Service Pack 1 ve Microsoft .NET Framework 3.5** (KB2416469) Microsoft .NET Framework 2.0 Service Pack 2 ve Microsoft .NET Framework 3.5 Service Pack 1** (KB2416474) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | MS09-036 |
x64 tabanlı Sistemler için Windows Server 2008 Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447) Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5 ve Microsoft .NET Framework 3.5 Service Pack 1** (KB2416470) Microsoft .NET Framework 3.5** (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473) Microsoft .NET Framework 4.0**[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
Itanium Tabanlı Sistemler için Windows Server 2008 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
Itanium Tabanlı Sistemler için Windows Server 2008 | Microsoft .NET Framework 2.0 Service Pack 1 ve Microsoft .NET Framework 3.5 (KB2416469) Microsoft .NET Framework 2.0 Service Pack 2 ve Microsoft .NET Framework 3.5 Service Pack 1 (KB2416474) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | MS09-036 |
Itanium Tabanlı Sistemler için Windows Server 2008 Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5 ve Microsoft .NET Framework 3.5 Service Pack 1 (KB2416470) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
Windows 7 | ||||
32 bit Sistemler için Windows 7 | Microsoft .NET Framework 3.5.1 (KB2416471) Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
32 bit Sistemler için Windows 7 Service Pack 1 | Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
x64 Tabanlı Sistemler için Windows 7 | Microsoft .NET Framework 3.5.1 (KB2416471) Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
x64 Tabanlı Sistemler için Windows 7 Service Pack 1 | Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
Windows Server 2008 R2 | ||||
x64 Tabanlı Sistemler için Windows Server 2008 R2 | Microsoft .NET Framework 3.5.1* (KB2416471) Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
x64 tabanlı Sistemler için Windows Server 2008 R2 Service Pack 1 | Microsoft .NET Framework 4.0*[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
Windows Server 2008 R2, Itanium Tabanlı Sistemler İçin | Microsoft .NET Framework 3.5.1 (KB2416471) Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
Itanium Tabanlı Sistemler için Windows Server 2008 R2 Service Pack 1 | Microsoft .NET Framework 4.0[1](KB2416472) | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
*Sunucu Çekirdeği yüklemesi etkilendi. Bu güncelleştirme, Windows Server 2008 R2'nin desteklenen sürümleri için sunucu çekirdeği yükleme seçeneği kullanılarak yüklenip yüklenmediğine bakılmaksızın, aynı önem derecesiyle geçerlidir. Bu yükleme seçeneği hakkında daha fazla bilgi için, Sunucu Çekirdeği Yüklemesini Yönetme ve Sunucu Çekirdeği Yüklemesine Hizmet Verme adlı TechNet makalelerine bakın. Sunucu Çekirdeği yükleme seçeneğinin Windows Server 2008 ve Windows Server 2008 R2'nin belirli sürümleri için geçerli olmadığını unutmayın; Bkz . Sunucu Çekirdeği Yükleme Seçeneklerini Karşılaştırma.
**Sunucu Çekirdeği yüklemesi etkilenmedi. Bu güncelleştirme tarafından giderilen güvenlik açıkları, Sunucu Çekirdeği yükleme seçeneği kullanılarak yüklendiğinde, windows server 2008'in desteklenen sürümlerini etkilemez. Bu yükleme seçeneği hakkında daha fazla bilgi için, Sunucu Çekirdeği Yüklemesini Yönetme ve Sunucu Çekirdeği Yüklemesine Hizmet Verme adlı TechNet makalelerine bakın. Sunucu Çekirdeği yükleme seçeneğinin Windows Server 2008 ve Windows Server 2008 R2'nin belirli sürümleri için geçerli olmadığını unutmayın; Bkz . Sunucu Çekirdeği Yükleme Seçeneklerini Karşılaştırma.
[1]. NET Framework 4.0 İstemci Profili etkilenmedi. .NET Framework sürüm 4 yeniden dağıtılabilir paketleri iki profilde kullanılabilir: .NET Framework 4.0 ve .NET Framework 4.0 İstemci Profili. .NET Framework 4.0 İstemci Profili, .NET Framework 4.0'ın bir alt kümesidir. Bu güncelleştirmede giderilen güvenlik açığı , .NET Framework 4.0 İstemci Profili'ni değil yalnızca .NET Framework 4.0'ı etkiler. Daha fazla bilgi için bkz. .NET Framework'ün yüklenmesi.
Etkilenmeyen Yazılım
İşletim Sistemi | Bileşen |
---|---|
Microsoft .NET Framework 1.0 Service Pack 3 | |
Windows XP Hizmet Paketi 3 | Microsoft .NET Framework 1.0 Service Pack 3 (yalnızca Windows XP Media Center Edition 2005 ve Windows XP Tablet PC Edition 2005) |
Microsoft .NET Framework 3.5.1 | |
32 bit Sistemler için Windows 7 Service Pack 1 | Microsoft .NET Framework 3.5.1 |
x64 Tabanlı Sistemler için Windows 7 Service Pack 1 | Microsoft .NET Framework 3.5.1 |
x64 tabanlı Sistemler için Windows Server 2008 R2 Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Itanium Tabanlı Sistemler için Windows Server 2008 R2 Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Bu Güvenlik Güncelleştirmesi ile İlgili Sık Sorulan Sorular (SSS)
Bu bülten neden 22 Şubat 2011'de yeniden düzenlendi?
Microsoft, 32 bit Sistemler için Windows 7 Service Pack 1, x64 tabanlı Sistemler için Windows 7 Service Pack 1, x64 tabanlı Sistemler için Windows Server 2008 R2 Service Pack 1 ve Itanium Tabanlı Sistemler için Windows Server 2008 R2 çalıştıran sistemlere Microsoft .NET Framework 4.0 (KB2416472) güncelleştirme paketlerini sunacak bir algılama değişikliğini duyurmak üzere bu güvenlik bültenini düzeltti. Bu algılama değişikliği yalnızca 32 bit Sistemler Service Pack 1 için Windows 7, x64 tabanlı Sistemler için Windows 7 Service Pack 1, x64 tabanlı Sistemler için Windows Server 2008 R2 Service Pack 1 veya Itanium Tabanlı Sistemler için Windows Server 2008 R2 Service Pack 1'i yükledikten sonra Microsoft .NET Framework 4.0'ı yükleyen müşteriler için geçerlidir. Sistemlerini başarıyla güncelleştirmiş olan müşterilerin herhangi bir işlem yapması gerekmez.
Bu bülten neden 14 Aralık 2010'da yeniden düzenlendi?
Microsoft, Microsoft .NET Framework 4.0 (KB2416472) için yeni güncelleştirme paketlerinin kullanıma sunulduğunu duyurmak için bu güvenlik bültenini düzelttirdi. Bu yeni paketler, kurulumdaki diğer güncelleştirmelerin başarıyla yüklenmesini engelleyebilecek bir sorunu düzeltebilir. Bu sorundan etkilenmiş olabilecek başka bir ürün veya güncelleştirme yüklemesine sahip olabilecek müşteriler için ek bilgi için lütfen Microsoft Bilgi Bankası makalesi 2473228 bakın. Sistemlerini başarıyla güncelleştirmiş olan müşterilerin herhangi bir işlem yapması gerekmez.
.NET Framework 3.0 Service Pack 2 yüklü; bu sürüm, bu bültende etkilenen yazılımlar arasında listelenmez. Güncelleştirme yüklemem gerekiyor mu?
Bu bültende .NET Framework 2.0 ve .NET Framework 3.5 özellik katmanlarında bir güvenlik açığı açıklanmaktadır. .NET Framework 3.0 Service Pack 2 yükleyicisi .NET Framework 2.0 Service Pack 2 kurulumunda zincirlenir, bu nedenle öncekinin yüklenmesi ikincisini de yükler. Bu nedenle, .NET Framework 3.0 Service Pack 2 yüklü olan müşterilerin .NET Framework 2.0 Service Pack 2 için güvenlik güncelleştirmelerini yüklemesi gerekir.
.NET Framework 3.5 yüklü. Ek güncelleştirme yüklemem gerekiyor mu?
Bu bültende .NET Framework 2.0 ve .NET Framework 3.5 özellik katmanlarında bir güvenlik açığı açıklanmaktadır. .NET Framework 3.5 yükleyicisi hem .NET Framework 2.0 Service Pack 1 kurulumunda hem de .NET Framework 3.0 Service Pack 1 kurulumunda zincirlenir. Bu nedenle, .NET Framework 3.5 yüklü olan müşterilerin .NET Framework 3.5 güncelleştirmelerine ek olarak .NET Framework 2.0 Service Pack 1 için güvenlik güncelleştirmelerini de yüklemeleri gerekir.
Sisteminizde .NET Framework'ün ek sürümlerinin yüklü olup olmadığını saptamaya yardımcı olmak için, bu bölümün devamında yer alan "Microsoft .NET Framework'ün hangi sürümünün yüklü olduğunu belirleme Nasıl yaparım?" SSS girişine bakın.
.NET Framework 3.5 Service Pack 1 yüklü. Ek güncelleştirme yüklemem gerekiyor mu?
Bu bültende .NET Framework 2.0 ve .NET Framework 3.5 özellik katmanlarında bir güvenlik açığı açıklanmaktadır. .NET Framework 3.5 Service Pack 1 yükleyicisi hem .NET Framework 2.0 Service Pack 2 kurulumunda hem de .NET Framework 3.0 Service Pack 2 kurulumunda zincirlenir. Bu nedenle, .NET Framework 3.5 Service Pack 1 yüklü olan müşterilerin .NET Framework 2.0 Service Pack 2 için güvenlik güncelleştirmelerini de yüklemesi gerekir.
Sisteminizde .NET Framework'ün ek sürümlerinin yüklü olup olmadığını saptamaya yardımcı olmak için, bu bölümün devamında yer alan "Microsoft .NET Framework'ün hangi sürümünün yüklü olduğunu belirleme Nasıl yaparım?" SSS girişine bakın.
Bu bülten neden 30 Eylül 2010'da yeniden düzenlendi?
Microsoft, güncelleştirmelerin artık Microsoft Update ve Windows Update de dahil olmak üzere tüm dağıtım kanalları aracılığıyla kullanılabildiğini duyurmak için bu bülteni gözden geçirdi. Ayrıca, bu düzeltmeye aşağıdaki açıklama ve düzeltmeler de dahil edildi:
- Etkilenen Yazılım tablosunda aşağıdaki düzeltmeler yapıldı:
- Güncelleştirme KB2418241 bülten açıklaması, Windows XP ve Windows Server 2003 sistemlerinde .NET Framework 3.5 Service Pack 1'i içerecek şekilde düzeltildi. Bu yalnızca bir bülten değişikliğiydi. Güncelleştirme KB2418241 başarıyla yüklemiş olan müşterilerin yeniden yüklemesi gerekmez. Windows XP veya Windows Server 2003 sistemlerinde .NET Framework 3.5 Service Pack 1 çalıştıran ve güncelleştirme KB2418241 yüklememiş olan müşteriler, .NET Framework 3.5 Service Pack 1 için güncelleştirme KB2416473 zaten uygulamış olsalar bile güncelleştirmeyi en erken fırsatta uygulamalıdır. Müşteriler, sistemlerinde yüklü yazılım için sunulan tüm güncelleştirmeleri uygulamalıdır.
- Güncelleştirme KB2416474 bülten açıklaması, Windows Vista ve Windows Server 2008 sistemlerinde .NET Framework 3.5 Service Pack 1'i içerecek şekilde düzeltildi. Bu yalnızca bir bülten değişikliğiydi. Güncelleştirme KB2416474 başarıyla yüklemiş olan müşterilerin yeniden yüklemesi gerekmez. Windows Vista veya Windows Server 2008 sistemlerinde .NET Framework 3.5 Service Pack 1 çalıştıran ve güncelleştirme KB2416474 yüklememiş olan müşteriler, .NET Framework 3.5 Service Pack 1 için güncelleştirme KB2416473 zaten uygulamış olsalar bile güncelleştirmeyi en erken fırsatta uygulamalıdır. Müşteriler, sistemlerinde yüklü yazılım için sunulan tüm güncelleştirmeleri uygulamalıdır.
- Güncelleştirme KB2416470 bülten açıklaması, Windows Vista ve Windows Server 2008 sistemlerinde Microsoft .NET Framework 3.5 ve Microsoft .NET Framework 3.5 Service Pack 1'i içerecek şekilde düzeltildi. Bu yalnızca bir bülten değişikliğiydi. Güncelleştirme KB2416470 başarıyla yüklemiş olan müşterilerin yeniden yüklemesi gerekmez. Güncelleştirme KB2416470 yüklememiş Windows Vista veya Windows Server 2008 sistemlerinde .NET Framework 3.5 ve Microsoft .NET Framework 3.5 Service Pack 1 çalıştıran müşteriler, .NET Framework 3.5 için güncelleştirme KB2418240 ve .NET Framework 3.5 Service Pack 1 için güncelleştirme KB2416473 zaten uygulamış olsalar bile güncelleştirmeyi en erken fırsatta uygulamalıdır. Müşteriler, sistemlerinde yüklü yazılım için sunulan tüm güncelleştirmeleri uygulamalıdır.
- Güncelleştirme KB2418240, Windows XP, Windows Server 2003, Windows Vista Service Pack 1 ve Windows Server 2008 sistemleri için .NET Framework 3.5 için ek güncelleştirme olarak listelenmiştir. Bu yalnızca bir bülten değişikliğiydi. Güncelleştirme KB2418240 başarıyla yüklemiş olan müşterilerin yeniden yüklemesi gerekmez. Windows XP, Windows Server 2003, Windows Vista ve Windows Server 2008 sistemlerinde .NET Framework 3.5 çalıştıran ve güncelleştirme KB2418240 yüklememiş olan müşteriler, .NET Framework 3.5 için farklı bir güncelleştirme uygulamış olsalar bile güncelleştirmeyi en erken fırsatta uygulamalıdır. Müşteriler, sistemlerinde yüklü yazılım için sunulan tüm güncelleştirmeleri uygulamalıdır.
- Bu bölümde "Microsoft .NET Framework'ün hangi sürümünün yüklü olduğunu belirlemek Nasıl yaparım??" adlı SSS eklendi.
- "Sistemimde yüklü Microsoft .NET Framework sürümü için listelenen iki güncelleştirme var. Bu bölümde her iki güncelleştirmesi de yüklemem gerekiyor mu?"
- Bu bölümde "Bu güvenlik güncelleştirmelerini belirli bir sırada yüklemem gerekiyor mu?" SSS eklendi.
Microsoft .NET Framework'ün hangi sürümünün yüklü olduğunu belirlemek Nasıl yaparım??
Bir sistemde .NET Framework'ün birden çok sürümünü yükleyip çalıştırabilir ve sürümleri istediğiniz sırayla yükleyebilirsiniz. .NET Framework'ün şu anda hangi sürümlerinin yüklü olduğunu belirlemenin çeşitli yolları vardır. Daha fazla bilgi için lütfen 318785 Microsoft Bilgi Bankası makalesine bakın.
Sistemimde yüklü olan Microsoft .NET Framework sürümü için listelenen iki güncelleştirme var. Her iki güncelleştirmesi de yüklemem gerekiyor mu?
Evet. Müşteriler, sistemlerinde yüklü yazılım için sunulan tüm güncelleştirmeleri uygulamalıdır.
Bu güvenlik güncelleştirmelerini belirli bir sırayla yüklemem gerekiyor mu?
Hayır .NET Framework'ün bir sürümü için birden çok güncelleştirme herhangi bir sırayla uygulanabilir. .NET Framework'ün farklı sürümleri için birden çok güncelleştirmenin en düşük sürüm numarasından en yükseğe sıralı olarak uygulanmasını öneririz, ancak bu dizi gerekli değildir.
Dosya bilgileri ayrıntıları nerede?
Dosya bilgileri ayrıntılarının konumu için Güvenlik Güncelleştirmesi Dağıtımı bölümündeki başvuru tablolarına bakın.
Bu güvenlik bülteninde açıklanan yazılımın eski bir sürümünü kullanıyorum. Ne yapmalıyım?
Bu bültende listelenen etkilenen yazılımlar, hangi sürümlerin etkilendiğini belirlemek için test edilmiştir. Diğer sürümler destek yaşam döngüsünü geçmiştir. Ürün yaşam döngüsü hakkında daha fazla bilgi için Microsoft Desteği Yaşam Döngüsü Web sitesini ziyaret edin.
Güvenlik açıklarına maruz kalma olasılığını önlemek için yazılımın daha eski sürümlerine sahip olan müşterilerin desteklenen sürümlere geçiş yapması öncelikli olmalıdır. Yazılım sürümünüzün destek yaşam döngüsünü belirlemek için bkz . Yaşam Döngüsü Bilgileri için Ürün Seçme. Bu yazılım sürümlerine yönelik hizmet paketleri hakkında daha fazla bilgi için bkz . Yaşam Döngüsü Desteklenen Hizmet Paketleri.
Eski yazılımlar için özel desteğe ihtiyaç duyan müşterilerin özel destek seçenekleri için Microsoft hesabı ekip temsilcilerine, Teknik Hesap Yöneticisi'ne veya uygun Microsoft iş ortağı temsilcisine başvurmaları gerekir. Alliance, Premier veya Yetkili Sözleşmesi olmayan müşteriler, yerel Microsoft satış ofislerine başvurabilir. İletişim bilgileri için Microsoft Dünya Çapında Bilgi Web sitesini ziyaret edin, Kişi Bilgileri listesinden ülkeyi seçin ve ardından Telefon numaralarının listesini görmek için Git'e tıklayın. Aradığınızda, yerel Premier Destek satış yöneticisiyle konuşmak isteyin. Daha fazla bilgi için bkz. Microsoft Desteği Yaşam Döngüsü İlkesi SSS.
Güvenlik Açığı Bilgileri
Önem Derecesi Ve Güvenlik Açığı Tanımlayıcıları
Aşağıdaki önem derecesi, güvenlik açığının olası en yüksek etkisini varsayar. Bu güvenlik bülteninin yayımlanmasının ardından 30 gün içinde güvenlik açığının önem derecesi ve güvenlik etkisiyle ilgili olarak bu güvenlik açığından yararlanma olasılığıyla ilgili bilgi için eylül bülteni özetindeki Exploitability Index bölümüne bakın. Daha fazla bilgi için bkz . Microsoft Exploitability Index.
Etkilenen Yazılım | ASP.NET Doldurma Oracle Güvenlik Açığı - CVE-2010-3332 | Toplam Önem Derecesi |
---|---|---|
Microsoft .NET Framework 1.1 Service Pack 1 | ||
Windows XP Service Pack 3'e yüklendiğinde Microsoft .NET Framework 1.1 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows XP Professional x64 Edition Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 1.1 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Server 2003 Service Pack 2 üzerinde Microsoft .NET Framework 1.1 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Server 2003 x64 Edition Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 1.1 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Server 2003 Itanium Tabanlı Sürüm Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 1.1 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Vista Service Pack 1 ve Windows Vista Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 1.1 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Vista x64 Edition Service Pack 1 ve Windows Vista x64 Edition Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 1.1 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
32 bit Sistemler için Windows Server 2008 ve 32 bit Sistemler için Windows Server 2008 Service Pack 2** üzerine yüklendiğinde Microsoft .NET Framework 1.1 Service Pack 1** | Önemli Bilgilerin Açığa Çıkması | Önemli |
x64 Tabanlı Sistemler için Windows Server 2008 ve x64 Tabanlı Sistemler için Windows Server 2008 Service Pack 2** üzerine yüklendiğinde Microsoft .NET Framework 1.1 Service Pack 1** | Önemli Bilgilerin Açığa Çıkması | Önemli |
Itanium Tabanlı Sistemler için Windows Server 2008 ve Itanium Tabanlı Sistemler için Windows Server 2008 Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 1.1 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Microsoft .NET Framework 2.0 Service Pack 1 | ||
Windows Vista Service Pack 1 üzerinde Microsoft .NET Framework 2.0 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Vista x64 Edition Service Pack 1 üzerinde Microsoft .NET Framework 2.0 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
32 bit Sistemler için Windows Server 2008 üzerinde Microsoft .NET Framework 2.0 Service Pack 1** | Önemli Bilgilerin Açığa Çıkması | Önemli |
x64 Tabanlı Sistemler için Windows Server 2008'de Microsoft .NET Framework 2.0 Service Pack 1** | Önemli Bilgilerin Açığa Çıkması | Önemli |
Itanium Tabanlı Sistemler için Windows Server 2008 Üzerinde Microsoft .NET Framework 2.0 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Microsoft .NET Framework 2.0 Service Pack 2 | ||
Windows XP Service Pack 3'e yüklendiğinde Microsoft .NET Framework 2.0 Service Pack 2 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows XP Professional x64 Edition Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 2.0 Service Pack 2 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Server 2003 Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 2.0 Service Pack 2 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Server 2003 x64 Edition Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 2.0 Service Pack 2 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Itanium Tabanlı Sistemler için Windows Server 2003 SP2'ye yüklendiğinde Microsoft .NET Framework 2.0 Service Pack 2 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Vista Service Pack 2 üzerinde Microsoft .NET Framework 2.0 Service Pack 2 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Vista x64 Edition Service Pack 2 üzerinde Microsoft .NET Framework 2.0 Service Pack 2 | Önemli Bilgilerin Açığa Çıkması | Önemli |
32 bit Sistemler için Windows Server 2008 Service Pack 2'de Microsoft .NET Framework 2.0 Service Pack 2** | Önemli Bilgilerin Açığa Çıkması | Önemli |
x64 Tabanlı Sistemler için Windows Server 2008 Üzerinde Microsoft .NET Framework 2.0 Service Pack 2** | Önemli Bilgilerin Açığa Çıkması | Önemli |
Itanium Tabanlı Sistemler için Windows Server 2008 Service Pack 2 üzerinde Microsoft .NET Framework 2.0 Service Pack 2 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Microsoft .NET Framework 3.5 | ||
Windows XP Service Pack 3'e yüklendiğinde Microsoft .NET Framework 3.5 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows XP Professional x64 Edition Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 3.5 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Server 2003 Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 3.5 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Server 2003 x64 Edition Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 3.5 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Itanium Tabanlı Sistemler için Windows Server 2003 SP2'ye yüklendiğinde Microsoft .NET Framework 3.5 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Vista Service Pack 1 ve Windows Vista Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 3.5 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Vista x64 Edition Service Pack 1 ve Windows Vista x64 Edition Service Pack 2 üzerine yüklendiğinde Microsoft .NET Framework 3.5 | Önemli Bilgilerin Açığa Çıkması | Önemli |
32 bit Sistemler için Windows Server 2008'e yüklendiğinde Microsoft .NET Framework 3.5** | Önemli Bilgilerin Açığa Çıkması | Önemli |
x64 Tabanlı Sistemler için Windows Server 2008'e yüklendiğinde Microsoft .NET Framework 3.5** | Önemli Bilgilerin Açığa Çıkması | Önemli |
Itanium Tabanlı Sistemler için Windows Server 2008'e yüklendiğinde Microsoft .NET Framework 3.5 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Microsoft .NET Framework 3.5 Service Pack 1 | ||
Windows XP Service Pack 3'e yüklendiğinde Microsoft .NET Framework 3.5 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows XP Professional x64 Edition Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 3.5 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Server 2003 Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 3.5 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Server 2003 x64 Edition Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 3.5 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Itanium Tabanlı Sistemler için Windows Server 2003 SP2'ye yüklendiğinde Microsoft .NET Framework 3.5 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Vista Service Pack 1 ve Windows Vista Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 3.5 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Vista x64 Edition Service Pack 1 ve Windows Vista x64 Edition Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 3.5 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
32 bit Sistemler için Windows Server 2008 ve 32 bit Sistemler için Windows Server 2008 Service Pack 2**'ye yüklendiğinde Microsoft .NET Framework 3.5 Service Pack 1** | Önemli Bilgilerin Açığa Çıkması | Önemli |
x64 Tabanlı Sistemler için Windows Server 2008 ve x64 Tabanlı Sistemler için Windows Server 2008 Service Pack 2** üzerine yüklendiğinde Microsoft .NET Framework 3.5 Service Pack 1** | Önemli Bilgilerin Açığa Çıkması | Önemli |
Itanium Tabanlı Sistemler için Windows Server 2008 ve Itanium Tabanlı Sistemler için Windows Server 2008 Service Pack 2'ye yüklendiğinde Microsoft .NET Framework 3.5 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Microsoft .NET Framework 3.5.1 | ||
32 bit Sistemler için Windows 7 üzerinde Microsoft .NET Framework 3.5.1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
x64 Tabanlı Sistemler için Windows 7 üzerinde Microsoft .NET Framework 3.5.1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
x64 Tabanlı Sistemler için Windows Server 2008 R2 Üzerinde Microsoft .NET Framework 3.5.1* | Önemli Bilgilerin Açığa Çıkması | Önemli |
Itanium Tabanlı Sistemler için Windows Server 2008 R2 Üzerinde Microsoft .NET Framework 3.5.1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Microsoft .NET Framework 4.0 | ||
Windows XP Service Pack 3 üzerinde Microsoft .NET Framework 4.0 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows XP Professional x64 Edition Service Pack 2 üzerinde Microsoft .NET Framework 4.0 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Server 2003 Service Pack 2 üzerinde Microsoft .NET Framework 4.0 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Server 2003 x64 Edition Service Pack 2 üzerinde Microsoft .NET Framework 4.0 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Itanium Tabanlı Sistemler için Windows Server 2003 SP2 üzerinde Microsoft .NET Framework 4.0 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Vista Service Pack 2 üzerinde Microsoft .NET Framework 4.0 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Windows Vista x64 Edition Service Pack 2 üzerinde Microsoft .NET Framework 4.0 | Önemli Bilgilerin Açığa Çıkması | Önemli |
32 bit Sistemler için Windows Server 2008 Service Pack 2 üzerinde Microsoft .NET Framework 4.0** | Önemli Bilgilerin Açığa Çıkması | Önemli |
x64 Tabanlı Sistemler için Windows Server 2008 Üzerinde Microsoft .NET Framework 4.0 Service Pack 2** | Önemli Bilgilerin Açığa Çıkması | Önemli |
Itanium Tabanlı Sistemler için Windows Server 2008 Service Pack 2 üzerinde Microsoft .NET Framework 4.0 | Önemli Bilgilerin Açığa Çıkması | Önemli |
32 bit Sistemler için Windows 7 ve 32 bit Sistemler için Windows 7 Service Pack 1 üzerinde Microsoft .NET Framework 4.0 | Önemli Bilgilerin Açığa Çıkması | Önemli |
x64 Tabanlı Sistemler için Windows 7 üzerinde Microsoft .NET Framework 4.0 ve x64 Tabanlı Sistemler için Windows 7 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
x64 Tabanlı Sistemler için Windows Server 2008 R2 üzerinde Microsoft .NET Framework 4.0 | Önemli Bilgilerin Açığa Çıkması | Önemli |
x64 Tabanlı Sistemler Service Pack 1* için Windows Server 2008 R2 üzerinde Microsoft .NET Framework 4.0 | Önemli Bilgilerin Açığa Çıkması | Önemli |
Itanium Tabanlı Sistemler için Windows Server 2008 R2 ve Itanium Tabanlı Sistemler için Windows Server 2008 R2 Üzerinde Microsoft .NET Framework 4.0 Service Pack 1 | Önemli Bilgilerin Açığa Çıkması | Önemli |
*Sunucu Çekirdeği yüklemesi etkilendi. Bu güncelleştirme, sunucu çekirdeği yükleme seçeneği kullanılarak yüklenip yüklenmediğine bakılmaksızın, windows server 2008 veya Windows Server 2008 R2'nin desteklenen sürümleri için aynı önem derecesine sahip geçerlidir. Bu yükleme seçeneği hakkında daha fazla bilgi için, Sunucu Çekirdeği Yüklemesini Yönetme ve Sunucu Çekirdeği Yüklemesine Hizmet Verme adlı TechNet makalelerine bakın. Sunucu Çekirdeği yükleme seçeneğinin Windows Server 2008 ve Windows Server 2008 R2'nin belirli sürümleri için geçerli olmadığını unutmayın; Bkz . Sunucu Çekirdeği Yükleme Seçeneklerini Karşılaştırma.
**Sunucu Çekirdeği yüklemesi etkilenmedi. Bu güncelleştirme tarafından giderilen güvenlik açıkları, Sunucu Çekirdeği yükleme seçeneği kullanılarak yüklendiğinde, windows server 2008 veya Windows Server 2008 R2'nin desteklenen sürümlerini etkilemez. Bu yükleme seçeneği hakkında daha fazla bilgi için, Sunucu Çekirdeği Yüklemesini Yönetme ve Sunucu Çekirdeği Yüklemesine Hizmet Verme adlı TechNet makalelerine bakın. Sunucu Çekirdeği yükleme seçeneğinin Windows Server 2008 ve Windows Server 2008 R2'nin belirli sürümleri için geçerli olmadığını unutmayın; Bkz . Sunucu Çekirdeği Yükleme Seçeneklerini Karşılaştırma.
ASP.NET Doldurma Oracle Güvenlik Açığı - CVE-2010-3332
şifreleme doldurma doğrulaması sırasında hatalı hata işleme nedeniyle ASP.NET'de bir bilgilerin açığa çıkması güvenlik açığı bulunmaktadır. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, sunucu tarafından şifrelenen görünüm durumu gibi verileri okuyabilir. Bu güvenlik açığı, başarıyla kötüye kullanıldığında sunucu tarafından şifrelenen verilerin şifresini çözmek ve üzerinde değişiklik yapmak için kullanılabilen veri kurcalama için de kullanılabilir. Bu güvenlik açığının bir saldırganın doğrudan kod yürütmesine veya kullanıcı haklarını yükseltmesine izin vermeyeceğini, ancak etkilenen sistemin güvenliğini daha fazla aşmaya çalışmak için kullanılabilecek bilgiler üretmek için kullanılabileceğini unutmayın. Microsoft .NET Framework 3.5 Service Pack 1 ve üzerinde, bu güvenlik açığı bir saldırgan tarafından web.config de dahil olmak üzere ASP.NET uygulamasındaki herhangi bir dosyanın içeriğini almak için de kullanılabilir.
Bu güvenlik açığını Ortak Güvenlik Açıkları ve Etkilenmeler listesinde standart bir giriş olarak görüntülemek için bkz . CVE-2010-3332.
ASP.NET Doldurma Oracle Güvenlik Açığı için Azaltıcı Etkenler - CVE-2010-3332
Azaltma, bir güvenlik açığından yararlanmanın önem derecesini azaltabilecek varsayılan bir durumda mevcut olan bir ayarı, yaygın yapılandırmayı veya genel en iyi yöntemi ifade eder. Aşağıdaki hafifletici faktörler sizin durumunuzda yararlı olabilir:
- Microsoft .NET Framework 3.5 Service Pack 1'den önceki Microsoft .NET Framework sürümleri, bu güvenlik açığının dosya içeriğinin açığa çıkması bölümünden etkilenmez.
ASP.NET Doldurma Oracle Güvenlik Açığı - CVE-2010-3332 için Geçici Çözümler
Geçici çözüm, temel güvenlik açığını düzeltmeyen ancak güncelleştirmeyi uygulamadan önce bilinen saldırı vektörlerini engellemeye yardımcı olabilecek bir ayar veya yapılandırma değişikliğini ifade eder. Microsoft, geçici çözümün işlevselliği azaltıp azaltmadığı tartışmasında aşağıdaki geçici çözümleri ve durumları test etti:
UrlScan veya İstek Filtreleme kuralını etkinleştirme, ASP.NET özel hataları etkinleştirme ve tüm hata kodlarını aynı hata sayfasına eşleme
ASP.NET customErrors özelliğini etkinleştirmek ve uygulamalarda sunucuda karşılaşılan hatadan bağımsız olarak her zaman aynı hata sayfasını döndürecek şekilde açıkça yapılandırmak, bir saldırganın sunucuda oluşan farklı hata türlerini ayırt etmek için geçerli açıklardan yararlanmayı kullanmasını zorlaştırabilir.
.NET Framework sürüm 3.5 Service Pack 1 ve üzerini kullanan sistemlerde, geçici çözüm geçerli açıkların zamanlama saldırısı bölümüne karşı korumaya yardımcı olarak daha fazla koruma sağlar. Geçici çözüm, customErrors özelliğinde redirectMode="ResponseRewrite" seçeneğini kullanır ve hata sayfasında rastgele bir gecikmeye neden olur. Bu yaklaşımlar, bir saldırganın hatayı almak için geçen süreyi ölçerek sunucuda oluşan hata türünü ortaya çıkarabilmesini zorlaştırmak için birlikte çalışır.
Ayrıca, bu geçici çözüm için sorgu dizesinde uygulama hata yolunu belirten engelleme istekleri gerekir. Bu, internet information services (IIS) için yönetici tarafından tanımlanan kurallara göre istekleri seçmeli olarak engelleyebilen ücretsiz bir araç olan URLScan kullanılarak yapılabilir. Sisteminiz Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 veya Windows Server 2008 R2 üzerinde Internet Information Services (IIS) çalıştırıyorsa, alternatif olarak İstek Filtreleme özelliğini kullanabilirsiniz.
İstek sorgu dizesinde ASP.Net uygulama hata yolunu değiştiren istekleri engelleme
UrlScan kullanma:
UrlScan 3.1'i indirin ve yükleyin. UrlScan'ı yapılandırma ve kullanma hakkında daha fazla yönerge için bkz . UrlScan 3 Başvurusu.
UrlScan.ini değiştirin (%windir%\system32\inetsrv\urlscan konumunda bulunur). Urlscan.ini dosyasının [DenyQueryStringSequences] bölümünün altına aşağıdaki satırı ekleyin:
aspxerrorpath=
Bunu yaptıktan sonra [ DenyQueryStringSequences] bölümü şuna benzer görünmelidir (bölümdeki ek satırlar tamamdır ve geçici çözümü etkilemez):
[DenyQueryStringSequences] aspxerrorpath=
- Yönetici olarak oturum açarken komut isteminden iisreset komutunu çalıştırın.
IIS isteği filtrelemeyi kullanma:
Bu yönergeler, Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 veya Windows Server 2008 R2 üzerinde IIS çalıştıran sistemler için yukarıdaki UrlScan yönergeleri için bir alternatiftir.
Internet Information Services, World Wide Web Services, Security altındaki özelliği seçerek Program Ekle/Kaldır veya Rol Yöneticisi aracılığıyla IIS'de İstek Filtreleme özelliğini yükleyin.
Internet Information Services (IIS) Yöneticisi'ne gidin .
Sol bölmede sunucu düğümünü seçin.
İstek Filtreleme'ye çift tıklayın.
Sorgu Dizeleri sekmesini seçin ve Eylemler bölmesinde Sorgu Dizesini Reddet ... öğesine tıklayın.
İletişim kutusuna aspxerrorpath= yazın ve Tamam'ı seçin.
Alternatif olarak, bu istek sorgu dizesini ayarlamak için aşağıdaki appcmd komutunu da kullanabilirsiniz:
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']
IIS'yi yapılandırmak için appcmd kullanma hakkında daha fazla bilgi için bkz . AppCmd.exe kullanmaya başlama.
ASP.Net uygulamalarını tekdüzen özel hatalar kullanacak şekilde yapılandırma
Her ASP.NET web uygulamasının kök klasöründe, bu klasörde zaten bir web.config dosyanız olup olmadığını belirleyin. Bu geçici çözümü uygulamak için hedef dizinde dosya oluşturma haklarına sahip olmanız gerekir.
ASP.NET uygulamasının web.config dosyası yoksa:
.NET Framework 3.5 ve önceki sürümlerde
- ASP.NET uygulamasının kök klasöründe web.config adlı bir metin dosyası oluşturun ve aşağıdaki içeriği ekleyin:
<configuration>
2. Create a text file named **error.html** containing a generic error message and save it in the root folder of the ASP.NET application.
3. Alternatively, you can rename error.html in the **web.config** file to point to an existing error page, but that page must display generic content, not context-specific content.
**On .NET Framework 3.5 Service Pack 1 and later**
1. Create a text file named **web.config** in the root folder of the ASP.NET application, and insert the following contents:
```
<configuration>
```
2. If you are comfortable using C\#, we recommend using the following **ErrorPage.aspx** file:
```
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
```
```
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
```
```
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "https://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
```
```
<html xmlns="https://www.w3.org/1999/xhtml">