Sicherheitsbulletin

Microsoft Security Bulletin MS13-103 - Wichtig

Sicherheitsanfälligkeit in ASP.NET SignalR könnte rechteerweiterungen zulassen (2905244)

Veröffentlicht: 10. Dezember 2013

Version: 1.0

Allgemeine Informationen

Kurzfassung

Dieses Sicherheitsupdate behebt eine privat gemeldete Sicherheitsanfälligkeit in ASP.NET SignalR. Die Sicherheitsanfälligkeit könnte die Rechteerweiterung ermöglichen, wenn ein Angreifer speziell gestaltetes JavaScript wieder in den Browser eines zielbezogenen Benutzers zurückgibt.

Dieses Sicherheitsupdate ist für ASP.NET SignalR-Versionen 1.1.0, 1.1.1, 1.1.2, 1.1.3 und 2.0.0 und alle unterstützten Editionen von Microsoft Visual Studio Team Foundation Server 2013 wichtig. Weitere Informationen finden Sie im Unterabschnitt, betroffene und nicht betroffene Software in diesem Abschnitt.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass ASP.NET SignalR benutzereingaben ordnungsgemäß codiert. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Unterabschnitt häufig gestellte Fragen (FAQ) für den spezifischen Sicherheitsrisikoeintrag im nächsten Abschnitt, Sicherheitsrisikoinformationen.

Empfehlung: 

FürKunden, die Webanwendungen entwickeln, die ASP.NET SignalR verwenden:
Kunden, die Webanwendungen entwickeln, die ASP.NET SignalR-Funktionalität verwenden, werden empfohlen, den Updateleitfaden im Abschnitt "SicherheitsupdateDeployment " dieses Bulletins zu befolgen, um detaillierte Anweisungen zum Aktualisieren ASP.NET SignalR in ihren Umgebungen zu erhalten.

FürKunden, die Installationen vonMicrosoft Visual Studio Team Foundation Server2013 ausführen:
Für Kunden, die die automatische Aktualisierung aktiviert haben und Microsoft Visual Studio Team Foundation Server 2013 ausführen, wird das Update automatisch heruntergeladen und installiert. Kunden, die keine automatische Aktualisierung aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten, empfiehlt Microsoft, dass Kunden das Update frühestens mithilfe der Updateverwaltungssoftware anwenden oder nach Updates mit dem Microsoft Update-Dienst suchen.

Siehe auch den Abschnitt " Erkennungs- und Bereitstellungstools und Anleitungen" weiter unten in diesem Bulletin.

Knowledge Base-Artikel

Betroffene und nicht betroffene Software

Die folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen oder Editionen liegen entweder über ihren Supportlebenszyklus oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.

Betroffene Software 

^[1]Gilt für Windows-Server, die Webanwendungen hosten, die ASP.NET SignalR-Funktionalität unterstützen. Das Update, das nur zum Download verfügbar ist, aktualisiert die Versionen 1.1.0, 1.1.1, 1.1.2 und 1.1.3 und Version 2.0.0 auf die neuesten unterstützten Versionen (1.1.4 und 2.0.1 ab dem Datum dieses Bulletins). Weitere Informationen finden Sie im Abschnitt "Sicherheitsupdatebereitstellung" dieses Bulletins.
** **

Nicht betroffene Software

Häufig gestellte Fragen zum Aktualisieren

Was istASP.NET SignalR? 
ASP.NET SignalR ist eine Bibliothek für ASP.NET Entwickler, die die Entwicklung von Echtzeitwebfunktionen vereinfachen. ASP.NET SignalR ermöglicht bidirektionale Kommunikation zwischen Server und Client über JavaScript, sodass Server Inhalte sofort an verbundene Clients übertragen können, sobald sie verfügbar sind (Pushfunktionalität). Weitere Informationen zu ASP.NET SignalR finden Sie unter "Informationen zu ASP.NET SignalR".

Gewusst wie bestimmen, welche VersionenvonASP.NET SignalRareauf meinemSystem installiert? 
Um die Versionen von ASP.NET SignalR zu ermitteln, die auf Ihrem System bereitgestellt werden, führen Sie eine Suche nach der Systemfestplatte nach "SignalR" durch. Zeigen Sie die Eigenschaften für alle Microsoft.AspNet.SignalR.Core.dll Dateien an, die in der Suche zurückgegeben werden, um ihre Versionsnummern anzuzeigen. Alle 1.1.x-Versionen vor Version 1.1.4 sind anfällig und sollten aktualisiert werden. Alle 2.0.x-Versionen vor Version 2.0.1 sind anfällig und sollten aktualisiert werden. Alle gefundenen 1.0.x-Versionen sind nicht anfällig.

Gewusst wie meine Version von ASP.NET SignalR aktualisieren?
Instanzen von ASP.NET SignalR, die mit Visual Studio Team Foundation Server 2013 installiert wurden, werden über Microsoft Update aktualisiert. Andere Instanzen von ASP.NET SignalR, die sich auf Entwicklersystemen und Webanwendungsservern befinden, müssen jedoch mithilfe von Prozessen aktualisiert werden, die im Abschnitt zur Sicherheitsupdatebereitstellung dieses Bulletins definiert sind.

Wird dieses Update meine Version von ASP.NET SignalR aktualisieren?  
Nein Das Update aktualisiert die auf einem System installierte Patchversion, führt jedoch kein Upgrade der Haupt- oder Nebenversion durch. Ab der Veröffentlichung dieses Bulletins werden zwei Hauptversionen von ASP.NET SignalR unterstützt (Versionen 1.1.x und 2.0.x). Das Update aktualisiert alle 1.1.x-Versionen auf 1.1.4 und alle 2.0.x-Versionen auf 2.0.1.

Ich verwende eine ältereVersion der Software, die in diesem Sicherheitsbulletin erläutert wird. Was soll ich tun? 
Die in diesem Bulletin aufgeführte betroffene Software wurde getestet, um festzustellen, welche Versionen betroffen sind. Andere Versionen sind über ihren Supportlebenszyklus hinweg. Weitere Informationen zum Produktlebenszyklus finden Sie auf der Microsoft-Support Lifecycle-Website.

Es sollte eine Priorität für Kunden sein, die über ältere Versionen der Software verfügen, um zu unterstützten Versionen zu migrieren, um potenzielle Gefährdungen durch Sicherheitsrisiken zu verhindern. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion finden Sie unter Auswählen eines Produkts für Lebenszyklusinformationen. Weitere Informationen zu Service Packs für diese Softwareversionen finden Sie unter Service Pack Lifecycle Support Policy.

Kunden, die benutzerdefinierten Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kontoteammitarbeiter, den Technical Account Manager oder den entsprechenden Microsoft-Partnermitarbeiter wenden, um benutzerdefinierte Supportoptionen zu erhalten. Kunden ohne Allianz-, Premier- oder autorisierten Vertrag können sich an ihr lokales Microsoft-Vertriebsbüro wenden. Informationen zu Kontaktinformationen finden Sie auf der Microsoft Worldwide Information-Website , wählen Sie das Land in der Kontaktinformationsliste aus, und klicken Sie dann auf "Gehe ", um eine Liste der Telefonnummern anzuzeigen. Wenn Sie anrufen, bitten Sie, mit dem lokalen Premier Support Sales Manager zu sprechen. Weitere Informationen finden Sie in den häufig gestellten Fragen zur Microsoft-Support Lifecycle-Richtlinie.

Sicherheitsrisikoinformationen

Schweregradbewertungen und Sicherheitslücken-IDs

Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im Dezember. Weitere Informationen finden Sie unter Microsoft Exploitability Index.

Sicherheitsanfälligkeit in SignalR XSS – CVE-2013-5042

In ASP.NET SignalR ist eine Sicherheitslücke zur Erhöhung von Rechten vorhanden, die einem Angreifer den Zugriff auf Ressourcen im Kontext des Zielbenutzers ermöglichen könnte.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2013-5042.

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Die Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht korrigiert, aber bekannte Angriffsvektoren blockiert, bevor Sie das Update anwenden. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Diskussion an, ob eine Problemumgehung die Funktionalität reduziert:

• Für Windows-Server, die WebanwendungenmitASP.NET SignalR-Funktionalität hosten, bietet das Deaktivieren des ASP.NET SignalRForever Frame-TransportprotokollstemporärenSchutz vor der Sicherheitsanfälligkeit.

  Das Deaktivieren des ASP.NET SignalR Forever Frame-Transportprotokolls auf Client- und Serverseiten erfolgt im Code. In den folgenden Beispielen finden Sie Anleitungen zum Deaktivieren des Protokolls in Ihrer Umgebung.

  Codebeispiel zum Deaktivieren des betroffenen Transports von der Clientseite:

  // If using the default hub connection
  $.connection.hub.start({ transport: ["webSockets", "serverSentEvents", "longPolling"] });
  
  // If using a manually-created connection
  var connection = $.connection("https://sample.com/signalr");
  connection.start({ transport: ["webSockets", "serverSentEvents", "longPolling"] });
  

  Codebeispiel zum Deaktivieren des betroffenen Transports auf der Serverseite bei Verwendung des standardmäßigen globalen Abhängigkeitslösers:

  using Microsoft.AspNet.SignalR;
  using Microsoft.AspNet.SignalR.Transports;
  using Owin;
  namespace MyApplication
  {
      public static class Startup
      {
          public static void ConfigureSignalR(IAppBuilder app)
          {
              // If using the global dependency resolver
              TurnOfForeverFrame(GlobalHost.DependencyResolver);
              app.MapSignalR();
          }
          public static void TurnOfForeverFrame(IDependencyResolver resolver)
          {
              var transportManager = resolver.Resolve<itransportmanager>() as TransportManager;
              transportManager.Remove("foreverFrame");
          }
      }
  }
  
  

  Code example to disable the affected transport on the server side when using a custom dependency resolver:
  
  using Microsoft.AspNet.SignalR;
  using Microsoft.AspNet.SignalR.Transports;
  using Owin;
  namespace MyApplication
  {
      public static class Startup
      {
          public static void ConfigureSignalR(IAppBuilder app)
          {
              // If using a custom dependency resolver
              var resolver = GetCustomResolver();
              TurnOfForeverFrame(resolver);
              app.MapSignalR(new HubConfiguration
              {
                  Resolver = resolver
              });
          }
          private static IDependencyResolver GetCustomResolver()
          {
              return new DefaultDependencyResolver();
          }
          public static void TurnOfForeverFrame(IDependencyResolver resolver)
          {
              var transportManager = resolver.Resolve</itransportmanager><itransportmanager>() as TransportManager;
              transportManager.Remove("foreverFrame");
          }
      }
  }
  

  Auswirkungen der Problemumgehung. Nach der Implementierung der Problemumgehung können Internet Explorer-Clients eine langsamere Kommunikationsgeschwindigkeit für die SignalR-Anwendung aufweisen.

• Für Systeme mit installierter Microsoft Visual Studio Team Foundation Server 2013-Installation hat Microsoft keine Problemumgehungen identifiziert.

Häufig gestellte Fragen

Was ist der Umfang der Sicherheitsanfälligkeit?
Dies ist eine Sicherheitslücke zur Erhöhung von Berechtigungen.

Was verursacht die Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird verursacht, wenn ASP.NET SignalR die Benutzereingabe nicht ordnungsgemäß codiert.

Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun?
In einem Webbrowsenszenario könnte ein Angreifer speziell gestaltetes JavaScript zurück zum Browser des Benutzers wiedergeben, wodurch der Angreifer Seiteninhalte ändern, Phishing durchführen oder Aktionen im Auftrag des Zielbenutzers ausführen kann.

Wie kann ein Angreifer dieSicherheitsanfälligkeit ausnutzen?
In einem Angriffsszenario könnte ein Angreifer in den Browser eines speziell gestalteten Benutzers eingeführt werden, der speziell gestaltete Inhalte enthält, die schädliches JavaScript enthalten, um dem Angreifer Zugriff auf Ressourcen zu gewähren, die dem Zielbenutzer zur Verfügung stehen.

Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet?
In einem Webbrowsen-Szenario erfordert eine erfolgreiche Nutzung dieser Sicherheitsanfälligkeit, dass ein Benutzer angemeldet ist und eine Website besucht, die ASP.NET SignalR hosten. Daher sind alle Systeme, in denen Webbrowser häufig verwendet werden, z. B. Arbeitsstationen oder Terminalserver, am häufigsten von dieser Sicherheitsanfälligkeit bedroht. Server sind möglicherweise riskanter, wenn Administratoren Benutzern erlauben, E-Mails auf Servern zu durchsuchen und zu lesen. Bewährte Methoden raten jedoch dringend davon ab, dies zuzulassen.

Was geschieht mit dem Update?
Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass ASP.NET SignalR benutzereingaben ordnungsgemäß codiert.

Als dieses Sicherheitsbulletin ausgegeben wurde, wurde diese Sicherheitsanfälligkeit öffentlich offengelegt?
Nein Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten.

Als dieses Sicherheitsbulletin ausgegeben wurde, erhielt Microsoft alle Berichte, dass diese Sicherheitsanfälligkeit ausgenutzt wurde?
Nein Microsoft hatte keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich ausgestellt wurde.

Informationen aktualisieren

Erkennungs- und Bereitstellungstools und Anleitungen

Es stehen mehrere Ressourcen zur Verfügung, die Administratoren bei der Bereitstellung von Sicherheitsupdates unterstützen. 

• Mit Microsoft Baseline Security Analyzer (MBSA) können Administratoren lokale und Remotesysteme auf fehlende Sicherheitsupdates und allgemeine Sicherheitsfehler überprüfen. 
• Windows Server Update Services (WSUS), Systems Management Server (SMS) und System Center Configuration Manager helfen Administratoren beim Verteilen von Sicherheitsupdates. 
• Die komponenten der Updatekompatibilitäts-Evaluator, die im Lieferumfang des Application Compatibility Toolkit enthalten sind, um die Tests und Validierung von Windows-Updates für installierte Anwendungen zu optimieren. 

Informationen zu diesen und anderen verfügbaren Tools finden Sie unter "Sicherheitstools für IT-Spezialisten". 

Bereitstellung von Sicherheitsupdates

Betroffene Software

Klicken Sie auf den entsprechenden Link, um Informationen zum spezifischen Sicherheitsupdate für Ihre betroffene Software zu erhalten:

ASP.NET SignalR (alle Versionen)

Je nach Bereitstellungsszenario stehen mehrere Updateoptionen zur Verfügung. Wählen Sie die beste Option für Ihr Szenario aus:

Für Entwickler von ASP.NET SignalR-fähigen Webanwendungen

• Option 1:Aktualisieren Sie Ihre Visual Studio-Projektpakete mithilfe von NuGet, kompilieren Sie Ihre Anwendung, und stellen Sie sie bereit.

  1. Öffnen Sie Ihre Projektmappe in Visual Studio.
  2. Klicken Sie in Projektmappen-Explorer mit der rechten Maustaste auf den Knoten "Verweise", und klicken Sie dann auf "NuGet-Pakete verwalten".
  3. Wählen Sie die Registerkarte "Updates" aus. Eine Liste der Pakete mit Updates wird im mittleren Bereich angezeigt.
  4. Wählen Sie das Microsoft.AspNet.SignalR-Paket aus, und klicken Sie dann auf "Aktualisieren".
  5. Kompilieren und Bereitstellen Der Webanwendung.

  Weitere Informationen zum Verwalten von NuGet-Paketen mithilfe des NuGet-Dialogfelds finden Sie unter Verwalten von NuGet-Paketen mithilfe des Dialogfelds.

• Option 2:Aktualisieren Sie Ihre Visual Studio-Projektpakete mithilfe der Paket-Manager Konsolenbenutzeroberfläche, kompilieren Sie Ihre Anwendung neu, und stellen Sie sie bereit.

  1. Öffnen Sie Ihre Projektmappe in Visual Studio.
  2. Klicken Sie auf das Menü "Extras", wählen Sie "Bibliothek Paket-Manager" aus, und klicken Sie dann auf Paket-Manager Konsole.
  3. Geben Sie im Paket-Manager-Fenster "Update-Package Microsoft.AspNet.SignalR" ein.
  4. Kompilieren und Bereitstellen Der Webanwendung.

  Weitere Informationen zur Verwendung der Paket-Manager-Konsole finden Sie unter Verwenden der Paket-Manager-Konsole.

Für Systemadministratoren, die ASP.NET SignalR-fähigen Webanwendungen nicht neu kompilieren können

• Aktualisieren ASP.NET SignalR auf Administratorsystemen

  Um Server vor dem Aktualisieren von Projekten und der erneuten Bereitstellung von Webanwendungen zu schützen, installieren Sie das Update über den Link in der folgenden Tabelle. Dies sollte als Vorläufiger Schutz für IT-Administratoren betrachtet werden, bis bereitgestellte Anwendungen, die ASP.NET SignalR verwenden, aktualisiert werden können.

  Datei aktualisieren	SignalR-KB2903919.msi
  Installationsschalter	Siehe Microsoft Knowledge Base-Artikel 262841
  Protokolldatei aktualisieren	Nicht zutreffend
  Anforderung für neustarten	Der Systemneustart ist nicht erforderlich; IIS wird jedoch neu gestartet.
  Entfernungsinformationen	Verwenden Sie "Programme hinzufügen oder entfernen" in Systemsteuerung.
  Dateiinformationen	Siehe Microsoft Knowledge Base-Artikel 2903919

Microsoft Visual Studio Team Foundation Server 2013 (alle Versionen)

Referenztabelle

Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.

Sonstige Informationen

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, wechseln Sie zu den aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.

Unterstützung

So erhalten Sie Hilfe und Support für dieses Sicherheitsupdate

• Hilfe beim Installieren von Updates: Support für Microsoft Update
• Sicherheitslösungen für IT-Experten: TechNet Security Troubleshooting and Support
• Schützen Sie Ihren Computer, auf dem Windows ausgeführt wird, vor Viren und Schadsoftware: Virenlösung und Security Center
• Lokaler Support nach Ihrem Land: Internationaler Support

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

• V1.0 (10. Dezember 2013): Bulletin veröffentlicht.

Gebaut am 2014-04-18T13:49:36Z-07:00