安全公告
Microsoft 安全公告 MS10-070 - 重要提示
ASP.NET 中的漏洞可能导致信息泄露(2418042)
发布时间: 2010 年 9 月 28 日 |更新时间:2011 年 10 月 26 日
版本: 4.2
常规信息
执行摘要
此安全更新解决了 ASP.NET 中公开披露的漏洞。 该漏洞可能允许信息泄露。 成功利用此漏洞的攻击者可以读取由服务器加密的视图状态等数据。 此漏洞还可用于数据篡改,如果成功利用,则可用于解密和篡改服务器加密的数据。 Microsoft .NET Framework 3.5 Service Pack 1 之前的 Microsoft .NET Framework 版本不受此漏洞的文件内容泄露部分的影响。
此安全更新针对除 Microsoft .NET Framework 1.0 Service Pack 3 之外的所有受支持版本的 ASP.NET 都被评为“重要”。 有关详细信息,请参阅本节中的小节“ 受影响的和非受影响的软件”。
安全更新通过对 ASP.NET 加密的所有数据进行签名来解决漏洞。 有关漏洞的详细信息,请参阅下一部分 “漏洞信息”下特定漏洞条目的常见问题解答(常见问题解答)子部分。
此安全更新还解决了 Microsoft 安全公告2416728中所述的漏洞。
建议。 Microsoft 建议客户尽早应用更新。
另请参阅本公告后面的“检测和部署工具和指南”部分。
已知问题。Microsoft 知识库文章2418042 记录客户安装此安全更新时可能会遇到的当前已知问题。 本文还记录了针对这些问题的建议解决方案。
受影响的和非受影响的软件
以下软件已经过测试,以确定哪些版本受到影响。 其他版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请访问Microsoft 支持部门生命周期。
受影响的软件
*服务器核心安装受到影响。 此更新与受支持的 Windows Server 2008 R2 版本相同,无论是否使用 Server Core 安装选项进行安装,此更新都适用。 有关此安装选项的详细信息,请参阅 TechNet 文章:管理服务器核心安装和维护服务器核心安装。 请注意,Server Core 安装选项不适用于某些版本的 Windows Server 2008 和 Windows Server 2008 R2;请参阅 “比较服务器核心安装选项”。
**服务器核心安装不受影响。 使用 Server Core 安装选项安装时,此更新解决的漏洞不会影响受支持的 Windows Server 2008 版本。 有关此安装选项的详细信息,请参阅 TechNet 文章:管理服务器核心安装和维护服务器核心安装。 请注意,Server Core 安装选项不适用于某些版本的 Windows Server 2008 和 Windows Server 2008 R2;请参阅 “比较服务器核心安装选项”。
[1].NET Framework 4.0 客户端配置文件不受影响。 .NET Framework 版本 4 可再发行包在两个配置文件中可用:.NET Framework 4.0 和 .NET Framework 4.0 客户端配置文件。 .NET Framework 4.0 客户端配置文件是 .NET Framework 4.0 的子集。 此更新中解决的漏洞仅影响 .NET Framework 4.0,而不会影响 .NET Framework 4.0 客户端配置文件。 有关详细信息,请参阅: 安装 .NET Framework。
受影响的软件
操作系统 | 组件 |
---|---|
Microsoft .NET Framework 1.0 Service Pack 3 | |
Windows XP Service Pack 3 | Microsoft .NET Framework 1.0 Service Pack 3 (仅限 Windows XP Media Center Edition 2005 和 Windows XP Tablet PC Edition 2005) |
Microsoft.NET Framework 3.5.1 | |
Windows 7 for 32 位系统 Service Pack 1 | Microsoft.NET Framework 3.5.1 |
基于 x64 的系统 Service Pack 1 的 Windows 7 | Microsoft.NET Framework 3.5.1 |
基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 | Microsoft.NET Framework 3.5.1 |
适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 | Microsoft.NET Framework 3.5.1 |
与此安全更新相关的常见问题(常见问题解答)
为什么此公告于 2011 年 2 月 22 日修订?
Microsoft 修订了此安全公告,宣布了检测更改,为运行 Windows 7 的系统服务包 32 位系统 Service Pack 1、基于 x64 的系统 Service Pack 1、基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 和基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 提供 Microsoft .NET Framework 4.0(知识库(KB)2416472) 更新包。 此检测更改仅适用于在为 32 位系统 Service Pack 1 安装 Windows 7 后安装 Microsoft .NET Framework 4.0 的客户、基于 x64 的系统 Service Pack 1 的 Windows 7、基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 或基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2。 已成功更新其系统的客户无需采取任何操作。
为什么此公告于 2010 年 12 月 14 日修订?
Microsoft 修订了此安全公告,宣布新的更新包适用于 Microsoft .NET Framework 4.0(知识库(KB)2416472)。 这些新包更正了安装程序中可能会干扰成功安装其他更新的问题。 对于可能安装其他产品或可能受此问题影响的更新的客户,请参阅 Microsoft 知识库文章2473228 以了解其他信息。 已成功更新其系统的客户无需采取任何操作。
我已安装 .NET Framework 3.0 Service Pack 2;此版本未在此公告中列出受影响的软件。 是否需要安装更新?
本公告介绍 .NET Framework 2.0 和 .NET Framework 3.5 功能层中的漏洞。 .NET Framework 3.0 Service Pack 2 安装程序中的 .NET Framework 2.0 Service Pack 2 安装程序链,因此安装前者也会安装后者。 因此,安装了 .NET Framework 3.0 Service Pack 2 的客户需要安装 .NET Framework 2.0 Service Pack 2 的安全更新。
我已安装 .NET Framework 3.5。 是否需要安装任何其他更新?
本公告介绍 .NET Framework 2.0 和 .NET Framework 3.5 功能层中的漏洞。 .NET Framework 3.5 安装程序在 .NET Framework 2.0 Service Pack 1 安装程序和 .NET Framework 3.0 Service Pack 1 安装程序中链接。 因此,安装 .NET Framework 3.5 的客户还需要安装 .NET Framework 2.0 Service Pack 1 的安全更新,以及 .NET Framework 3.5 的更新。
若要帮助确定系统上是否安装了任何其他版本的 .NET Framework,请参阅常见问题解答条目“如何实现确定安装了哪个版本的 Microsoft .NET Framework”,在本部分中的后面部分。
我已安装 .NET Framework 3.5 Service Pack 1。 是否需要安装任何其他更新?
本公告介绍 .NET Framework 2.0 和 .NET Framework 3.5 功能层中的漏洞。 .NET Framework 3.5 Service Pack 1 安装程序链位于 .NET Framework 2.0 Service Pack 2 安装程序和 .NET Framework 3.0 Service Pack 2 安装程序中。 因此,安装了 .NET Framework 3.5 Service Pack 1 的客户还需要为 .NET Framework 2.0 Service Pack 2 安装安全更新。
若要帮助确定系统上是否安装了任何其他版本的 .NET Framework,请参阅常见问题解答条目“如何实现确定安装了哪个版本的 Microsoft .NET Framework”,在本部分中的后面部分。
为什么此公告于 2010 年 9 月 30 日修订?
Microsoft 修订了此公告,宣布现在可通过所有分发渠道(包括 Microsoft 更新和Windows 更新)获取更新。 此外,本修订中还包括以下澄清和更正:
- 对受影响的软件表进行了以下更正:
- 更新知识库(KB)2418241的公告说明已更正为在 Windows XP 和 Windows Server 2003 系统上包括 .NET Framework 3.5 Service Pack 1。 这只是公告更改。 已成功安装更新知识库(KB)2418241的客户无需重新安装。 在未安装更新知识库(KB)2418241的 Windows XP 或 Windows Server 2003 系统上运行 .NET Framework 3.5 Service Pack 1 的客户应尽早应用更新,即使它们已为 .NET Framework 3.5 Service Pack 1 应用更新知识库(KB)2416473也是如此。 客户应应用为其系统上安装的软件提供的所有更新。
- 更新知识库(KB)2416474的公告说明已更正为在 Windows Vista 和 Windows Server 2008 系统上包括 .NET Framework 3.5 Service Pack 1。 这只是公告更改。 已成功安装更新知识库(KB)2416474的客户无需重新安装。 在 Windows Vista 或未安装更新 知识库(KB)2416474的 Windows Server 2008 系统上运行 .NET Framework 3.5 Service Pack 1 的客户应尽早应用更新,即使它们已为 .NET Framework 3.5 Service Pack 1 应用更新知识库(KB)2416473也是如此。 客户应应用为其系统上安装的软件提供的所有更新。
- 更新知识库(KB)2416470的公告说明已更正为在 Windows Vista 和 Windows Server 2008 系统上包括 Microsoft .NET Framework 3.5 和 Microsoft .NET Framework 3.5 Service Pack 1。 这只是公告更改。 已成功安装更新知识库(KB)2416470的客户无需重新安装。 在 Windows Vista 或未安装更新 知识库(KB)2416470的 Windows Server 2008 系统上运行 .NET Framework 3.5 和 Microsoft .NET Framework 3.5 Service Pack 1 的客户应尽早应用更新,即使已为 .NET Framework 3.5 应用更新知识库(KB)2418240,并且更新 .NET Framework 3.5 Service Pack 1 的更新知识库(KB)2416473也是如此。 客户应应用为其系统上安装的软件提供的所有更新。
- 更新知识库(KB)2418240被列为适用于 Windows XP、Windows Server 2003、Windows Vista Service Pack 1 和 Windows Server 2008 系统的 .NET Framework 3.5 的其他更新。 这只是公告更改。 已成功安装更新知识库(KB)2418240的客户无需重新安装。 在 Windows XP、Windows Server 2003、Windows Vista 和未安装更新知识库(KB)2418240的 Windows Server 2008 系统上运行 .NET Framework 3.5 的客户应尽早应用更新,即使它们已经为 .NET Framework 3.5 应用了不同的更新。 客户应应用为其系统上安装的软件提供的所有更新。
- 添加了常见问题解答“如何实现确定安装了哪个版本的 Microsoft .NET Framework?”
- 添加了常见问题解答,“系统上安装的 Microsoft .NET Framework 版本列出了两个更新。 是否需要安装这两个更新?
- 添加了常见问题解答,“是否需要在特定序列中安装这些安全更新?”
如何实现确定安装了哪个版本的 Microsoft .NET Framework?
可以在系统上安装和运行 .NET Framework 的多个版本,并且可以按任意顺序安装版本。 有多种方法可以确定当前安装了哪些版本的 .NET Framework。 有关详细信息,请参阅 Microsoft 知识库文章318785。
系统上安装的 Microsoft .NET Framework 版本列出了两个更新。 是否需要安装这两个更新?
是的。 客户应应用为其系统上安装的软件提供的所有更新。
是否需要在特定序列中安装这些安全更新?
否。 可以按任意顺序应用一个版本的 .NET Framework 的多个更新。 我们建议将不同版本的 .NET Framework 的多个更新按顺序从最低版本号应用到最高版本,但不需要该序列。
文件信息详细信息在哪里?
有关文件信息详细信息的位置,请参阅“安全更新部署”部分中的参考表。
我使用的是此安全公告中讨论的软件的较旧版本。 应采取何种操作?
此公告中列出的受影响的软件已经过测试,以确定哪些版本受到影响。 其他版本已超过其支持生命周期。 有关产品生命周期的详细信息,请访问Microsoft 支持部门生命周期网站。
对于具有较旧版本的软件的客户来说,这应该是一个优先事项,可以迁移到受支持的版本,以防止潜在的漏洞暴露。 若要确定软件版本的支持生命周期,请参阅 “选择产品生命周期信息”。 有关这些软件版本的 Service Pack 的详细信息,请参阅生命周期支持的 Service Pack。
需要旧版软件自定义支持的客户必须联系其 Microsoft 帐户团队代表、其技术客户经理或相应的 Microsoft 合作伙伴代表以获取自定义支持选项。 没有联盟、顶级或授权合同的客户可以与其当地的 Microsoft 销售办公室联系。 有关联系信息,请访问 Microsoft 全球信息网站,在“联系信息”列表中选择国家/地区,然后单击“转到”以查看电话号码列表。 呼叫时,请与当地顶级支持销售经理交谈。 有关详细信息,请参阅Microsoft 支持部门生命周期策略常见问题解答。
漏洞信息
严重性分级和漏洞标识符
以下严重性分级假定漏洞的潜在最大影响。 有关此安全公告发布 30 天内漏洞的可利用性及其严重性评级和安全影响的信息,请参阅 9 月公告摘要中的“可利用性索引”。 有关详细信息,请参阅 Microsoft Exploitability Index。
受影响的软件 | ASP.NET 填充 Oracle 漏洞 - CVE-2010-3332 | 聚合严重性分级 |
---|---|---|
Microsoft .NET Framework 1.1 Service Pack 1 | ||
在 Windows XP Service Pack 3 上安装时 Microsoft .NET Framework 1.1 Service Pack 1 | 重要信息 披露 | 重要说明 |
在 Windows XP Professional x64 Edition Service Pack 2 上安装时,Microsoft .NET Framework 1.1 Service Pack 1 | 重要信息 披露 | 重要说明 |
Windows Server 2003 Service Pack 2 上的 Microsoft .NET Framework 1.1 Service Pack 1 | 重要信息 披露 | 重要说明 |
在 Windows Server 2003 x64 Edition Service Pack 2 上安装时,Microsoft .NET Framework 1.1 Service Pack 1 | 重要信息 披露 | 重要说明 |
在 Windows Server 2003 基于 Itanium 的版本 Service Pack 2 上安装时,Microsoft .NET Framework 1.1 Service Pack 1 | 重要信息 披露 | 重要说明 |
在 Windows Vista Service Pack 1 和 Windows Vista Service Pack 2 上安装时,Microsoft .NET Framework 1.1 Service Pack 1 | 重要信息 披露 | 重要说明 |
在 Windows Vista x64 版本 Service Pack 1 和 Windows Vista x64 Edition Service Pack 2 上安装时,Microsoft .NET Framework 1.1 Service Pack 1 | 重要信息 披露 | 重要说明 |
在 Windows Server 2008 上安装适用于 32 位系统的 Microsoft .NET Framework 1.1 Service Pack 1,Windows Server 2008 for 32 位系统 Service Pack 2** | 重要信息 披露 | 重要说明 |
在 Windows Server 2008 上安装基于 x64 的系统时,Microsoft .NET Framework 1.1 Service Pack 1 和基于 x64 的系统 Service Pack 2 的 Windows Server 2008 | 重要信息 披露 | 重要说明 |
在 Windows Server 2008 上安装适用于基于 Itanium 的系统的 Microsoft .NET Framework 1.1 Service Pack 1,适用于基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 | 重要信息 披露 | 重要说明 |
Microsoft .NET Framework 2.0 Service Pack 1 | ||
Windows Vista Service Pack 1 上的 Microsoft .NET Framework 2.0 Service Pack 1 | 重要信息 披露 | 重要说明 |
Windows Vista x64 Edition Service Pack 1 上的 Microsoft .NET Framework 2.0 Service Pack 1 | 重要信息 披露 | 重要说明 |
Windows Server 2008 上用于 32 位系统的 Microsoft .NET Framework 2.0 Service Pack 1** | 重要信息 披露 | 重要说明 |
Windows Server 2008 上用于基于 x64 的系统的 Microsoft .NET Framework 2.0 Service Pack 1** | 重要信息 披露 | 重要说明 |
Windows Server 2008 上基于 Itanium 的 Microsoft .NET Framework 2.0 Service Pack 1 | 重要信息 披露 | 重要说明 |
Microsoft .NET Framework 2.0 Service Pack 2 | ||
在 Windows XP Service Pack 3 上安装时 Microsoft .NET Framework 2.0 Service Pack 2 | 重要信息 披露 | 重要说明 |
在 Windows XP Professional x64 Edition Service Pack 2 上安装时,Microsoft .NET Framework 2.0 Service Pack 2 | 重要信息 披露 | 重要说明 |
在 Windows Server 2003 Service Pack 2 上安装时,Microsoft .NET Framework 2.0 Service Pack 2 | 重要信息 披露 | 重要说明 |
在 Windows Server 2003 x64 Edition Service Pack 2 上安装时,Microsoft .NET Framework 2.0 Service Pack 2 | 重要信息 披露 | 重要说明 |
在 Windows Server 2003 上安装基于 Itanium 的系统的 SP2 时,Microsoft .NET Framework 2.0 Service Pack 2 | 重要信息 披露 | 重要说明 |
Windows Vista Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2 | 重要信息 披露 | 重要说明 |
Windows Vista x64 Edition Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2 | 重要信息 披露 | 重要说明 |
Windows Server 2008 上用于 32 位系统 Service Pack 2 的 Microsoft .NET Framework 2.0 Service Pack 2** | 重要信息 披露 | 重要说明 |
Windows Server 2008 上用于基于 x64 的系统 Service Pack 2 的 Microsoft .NET Framework 2.0 Service Pack 2** | 重要信息 披露 | 重要说明 |
基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 上的 Microsoft .NET Framework 2.0 Service Pack 2 | 重要信息 披露 | 重要说明 |
Microsoft .NET Framework 3.5 | ||
在 Windows XP Service Pack 3 上安装时,Microsoft .NET Framework 3.5 | 重要信息 披露 | 重要说明 |
在 Windows XP Professional x64 Edition Service Pack 2 上安装时,Microsoft .NET Framework 3.5 | 重要信息 披露 | 重要说明 |
在 Windows Server 2003 Service Pack 2 上安装时,Microsoft .NET Framework 3.5 | 重要信息 披露 | 重要说明 |
在 Windows Server 2003 x64 Edition Service Pack 2 上安装时,Microsoft .NET Framework 3.5 | 重要信息 披露 | 重要说明 |
在 Windows Server 2003 上安装具有 SP2 for Itanium 系统时,Microsoft .NET Framework 3.5 | 重要信息 披露 | 重要说明 |
在 Windows Vista Service Pack 1 和 Windows Vista Service Pack 2 上安装时,Microsoft .NET Framework 3.5 | 重要信息 披露 | 重要说明 |
在 Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2 上安装时,Microsoft .NET Framework 3.5 | 重要信息 披露 | 重要说明 |
在 Windows Server 2008 上安装适用于 32 位系统的 Microsoft .NET Framework 3.5** | 重要信息 披露 | 重要说明 |
在 Windows Server 2008 上安装基于 x64 的系统时,Microsoft .NET Framework 3.5** | 重要信息 披露 | 重要说明 |
在 Windows Server 2008 上安装基于 Itanium 的系统时,Microsoft .NET Framework 3.5 | 重要信息 披露 | 重要说明 |
Microsoft .NET Framework 3.5 Service Pack 1 | ||
在 Windows XP Service Pack 3 上安装时,Microsoft .NET Framework 3.5 Service Pack 1 | 重要信息 披露 | 重要说明 |
在 Windows XP Professional x64 Edition Service Pack 2 上安装时,Microsoft .NET Framework 3.5 Service Pack 1 | 重要信息 披露 | 重要说明 |
在 Windows Server 2003 Service Pack 2 上安装时,Microsoft .NET Framework 3.5 Service Pack 1 | 重要信息 披露 | 重要说明 |
在 Windows Server 2003 x64 Edition Service Pack 2 上安装时,Microsoft .NET Framework 3.5 Service Pack 1 | 重要信息 披露 | 重要说明 |
在 Windows Server 2003 上安装基于 Itanium 的系统 SP2 时,Microsoft .NET Framework 3.5 Service Pack 1 | 重要信息 披露 | 重要说明 |
在 Windows Vista Service Pack 1 和 Windows Vista Service Pack 2 上安装时,Microsoft .NET Framework 3.5 Service Pack 1 | 重要信息 披露 | 重要说明 |
在 Windows Vista x64 版本 Service Pack 1 和 Windows Vista x64 Edition Service Pack 2 上安装时,Microsoft .NET Framework 3.5 Service Pack 1 | 重要信息 披露 | 重要说明 |
在 Windows Server 2008 上安装适用于 32 位系统的 Microsoft .NET Framework 3.5 Service Pack 1,Windows Server 2008 for 32 位系统 Service Pack 2** | 重要信息 披露 | 重要说明 |
在 Windows Server 2008 上安装基于 x64 的系统时,Microsoft .NET Framework 3.5 Service Pack 1 和基于 x64 的系统 Service Pack 2 的 Windows Server 2008 | 重要信息 披露 | 重要说明 |
在 Windows Server 2008 上安装基于 Itanium 的系统时,Microsoft .NET Framework 3.5 Service Pack 1,适用于基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 | 重要信息 披露 | 重要说明 |
Microsoft.NET Framework 3.5.1 | ||
Windows 7 上用于 32 位系统的 Microsoft .NET Framework 3.5.1 | 重要信息 披露 | 重要说明 |
Windows 7 上的 Microsoft .NET Framework 3.5.1,适合基于 x64 的系统 | 重要信息 披露 | 重要说明 |
Windows Server 2008 R2 上用于基于 x64 的系统的 Microsoft .NET Framework 3.5.1* | 重要信息 披露 | 重要说明 |
基于 Itanium 的 Windows Server 2008 R2 上的 Microsoft .NET Framework 3.5.1 | 重要信息 披露 | 重要说明 |
Microsoft .NET Framework 4.0 | ||
Windows XP Service Pack 3 上的 Microsoft .NET Framework 4.0 | 重要信息 披露 | 重要说明 |
Windows XP Professional x64 Edition Service Pack 2 上的 Microsoft .NET Framework 4.0 | 重要信息 披露 | 重要说明 |
Windows Server 2003 Service Pack 2 上的 Microsoft .NET Framework 4.0 | 重要信息 披露 | 重要说明 |
Windows Server 2003 x64 Edition Service Pack 2 上的 Microsoft .NET Framework 4.0 | 重要信息 披露 | 重要说明 |
Windows Server 2003 上的 Microsoft .NET Framework 4.0,SP2 适用于基于 Itanium 的系统 | 重要信息 披露 | 重要说明 |
Windows Vista Service Pack 2 上的 Microsoft .NET Framework 4.0 | 重要信息 披露 | 重要说明 |
Windows Vista x64 Edition Service Pack 2 上的 Microsoft .NET Framework 4.0 | 重要信息 披露 | 重要说明 |
Windows Server 2008 上用于 32 位系统 Service Pack 2 的 Microsoft .NET Framework 4.0** | 重要信息 披露 | 重要说明 |
Windows Server 2008 上基于 x64 的系统 Service Pack 2 的 Microsoft .NET Framework 4.0** | 重要信息 披露 | 重要说明 |
Windows Server 2008 上基于 Itanium 的系统 Service Pack 2 的 Microsoft .NET Framework 4.0 | 重要信息 披露 | 重要说明 |
Windows 7 上的 Microsoft .NET Framework 4.0(适用于 32 位系统)和 Windows 7(适用于 32 位系统 Service Pack 1) | 重要信息 披露 | 重要说明 |
Windows 7 上的 Microsoft .NET Framework 4.0(适用于基于 x64 的系统)和基于 x64 的系统 Service Pack 1 的 Windows 7 | 重要信息 披露 | 重要说明 |
Windows Server 2008 R2 上用于基于 x64 的系统的 Microsoft .NET Framework 4.0 | 重要信息 披露 | 重要说明 |
Windows Server 2008 R2 上用于基于 x64 的系统 Service Pack 1* 的 Microsoft .NET Framework 4.0* | 重要信息 披露 | 重要说明 |
适用于基于 Itanium 的系统的 Windows Server 2008 R2 上的 Microsoft .NET Framework 4.0,适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 | 重要信息 披露 | 重要说明 |
*服务器核心安装受到影响。 此更新的严重性分级与受支持的 Windows Server 2008 或 Windows Server 2008 R2 版本相同,如前所述,无论是否使用 Server Core 安装选项进行安装。 有关此安装选项的详细信息,请参阅 TechNet 文章:管理服务器核心安装和维护服务器核心安装。 请注意,Server Core 安装选项不适用于某些版本的 Windows Server 2008 和 Windows Server 2008 R2;请参阅 “比较服务器核心安装选项”。
**服务器核心安装不受影响。 此更新解决的漏洞不会影响使用 Server Core 安装选项安装时支持的 Windows Server 2008 或 Windows Server 2008 R2 版本。 有关此安装选项的详细信息,请参阅 TechNet 文章:管理服务器核心安装和维护服务器核心安装。 请注意,Server Core 安装选项不适用于某些版本的 Windows Server 2008 和 Windows Server 2008 R2;请参阅 “比较服务器核心安装选项”。
ASP.NET 填充 Oracle 漏洞 - CVE-2010-3332
由于加密填充验证期间错误处理不当,ASP.NET 中存在信息泄露漏洞。 成功利用此漏洞的攻击者可以读取由服务器加密的视图状态等数据。 此漏洞还可用于数据篡改,如果成功利用,则可用于解密和篡改服务器加密的数据。 请注意,此漏洞不允许攻击者执行代码或直接提升其用户权限,但可用于生成可用于进一步入侵受影响系统的信息。 在 Microsoft .NET Framework 3.5 Service Pack 1 及更高版本中,攻击者也可以使用此漏洞来检索 ASP.NET 应用程序中的任何文件的内容,包括 web.config。
若要将此漏洞视为常见漏洞和公开列表中的标准条目,请参阅 CVE-2010-3332。
ASP.NET 填充 Oracle 漏洞的缓解因素 - CVE-2010-3332
缓解是指在默认状态下存在的设置、常见配置或一般最佳做法,这可能会降低漏洞利用的严重性。 以下缓解因素可能对你的情况有所帮助:
- Microsoft .NET Framework 3.5 Service Pack 1 之前的 Microsoft .NET Framework 版本不受此漏洞的文件内容泄露部分的影响。
ASP.NET 填充 Oracle 漏洞的解决方法 - CVE-2010-3332
解决方法是指未更正基础漏洞的设置或配置更改,但有助于在应用更新之前阻止已知的攻击途径。 Microsoft 在讨论解决方法是否减少功能时测试了以下解决方法和状态:
启用 UrlScan 或请求筛选规则,启用 ASP.NET 自定义错误,并将所有错误代码映射到同一错误页
启用 ASP.NET 的 customErrors 功能,并显式配置应用程序以始终返回相同的错误页,无论服务器上遇到的错误如何,都可能导致攻击者使用当前攻击来区分服务器上发生的不同类型的错误。
在使用 .NET Framework 版本 3.5 Service Pack 1 及更高版本的系统上,该解决方法还有助于防范当前攻击的计时攻击部分,从而提供进一步的保护。 解决方法使用 customErrors 功能中的 redirectMode=“ResponseRewrite”选项,并在错误页中引入随机延迟。 这些方法协同工作,使攻击者更难通过测量接收错误所需的时间来推断服务器上发生的错误类型。
此外,此解决方法需要阻止请求,这些请求指定查询字符串上的应用程序错误路径。 可以使用适用于 Internet Information Services(IIS)的免费工具 URLScan 来完成此操作,该工具可以根据管理员定义的规则选择性地阻止请求。 如果你的系统在 Windows Vista Service Pack 2、Windows Server 2008 Service Pack 2、Windows 7 或 Windows Server 2008 R2 上运行 Internet Information Services (IIS),则可以使用请求筛选功能。
阻止在请求查询字符串上修改 ASP.Net 应用程序错误路径的请求
使用 UrlScan:
下载并安装 UrlScan 3.1。 有关配置和使用 UrlScan 的进一步说明,请参阅 UrlScan 3 参考。
修改UrlScan.ini(在 %windir%\system32\inetsrv\urlscan 中找到)。 在Urlscan.ini文件的 [DenyQueryStringSequences] 节下插入以下行:
aspxerrorpath=
执行此操作后, [DenyQueryStringSequences] 部分应如下所示(本节中的其他行正常,不会影响解决方法):
[DenyQueryStringSequences] aspxerrorpath=
- 以管理员身份登录时,从命令提示符运行 iisreset 。
使用 IIS 请求筛选:
对于在 Windows Vista Service Pack 2、Windows Server 2008 Service Pack 2、Windows 7 或 Windows Server 2008 R2 上运行 IIS 的系统,上述 UrlScan 说明是替代方法。
通过“添加/删除程序”或“角色管理”在 IIS 中安装请求筛选功能,方法是在 Internet Information Services、万维网服务、安全性下选择该功能。
启动 Internet Information Services (IIS) 管理器。
在左窗格中选择服务器节点。
双击“ 请求筛选”。
选择“查询字符串”选项卡,然后单击“操作”窗格中的“拒绝查询字符串...”。
在对话框中输入 aspxerrorpath= 并选择“ 确定”。
或者,还可以使用以下 appcmd 命令设置此请求查询字符串:
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']
有关使用 appcmd 配置 IIS 的详细信息,请参阅 AppCmd.exe入门。
将 ASP.Net 应用程序配置为使用统一的自定义错误
在每个 ASP.NET Web 应用程序的根文件夹中,确定此文件夹中是否已有 web.config 文件。 必须有权在目标目录中创建文件才能实现此解决方法。
如果 ASP.NET 应用程序没有 web.config 文件:
在 .NET Framework 3.5 及更早版本上
- 在 ASP.NET 应用程序的根文件夹中创建名为 web.config 的文本文件,并插入以下内容:
<configuration>
2. Create a text file named **error.html** containing a generic error message and save it in the root folder of the ASP.NET application.
3. Alternatively, you can rename error.html in the **web.config** file to point to an existing error page, but that page must display generic content, not context-specific content.
**On .NET Framework 3.5 Service Pack 1 and later**
1. Create a text file named **web.config** in the root folder of the ASP.NET application, and insert the following contents:
```
<configuration>
```
2. If you are comfortable using C\#, we recommend using the following **ErrorPage.aspx** file:
```
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
```
```
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
```
```
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "https://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
```
```
<html xmlns="https://www.w3.org/1999/xhtml">