Bulletin de sécurité Microsoft MS14-059 - Important

La vulnérabilité dans ASP.NET MVC peut autoriser le contournement des fonctionnalités de sécurité (2990942)

Publication : 14 octobre 2014

Version : 1.0

Informations générales

Résumé

Cette mise à jour de sécurité résout une vulnérabilité divulguée publiquement dans ASP.NET MVC. La vulnérabilité peut autoriser le contournement des fonctionnalités de sécurité si un attaquant convainc un utilisateur de cliquer sur un lien spécialement conçu ou de visiter une page web contenant du contenu spécialement conçu pour exploiter la vulnérabilité. Dans un scénario d’attaque basé sur le web, un attaquant peut héberger un site web spécialement conçu pour exploiter la vulnérabilité via un navigateur web, puis convaincre un utilisateur d’afficher le site web. L’attaquant peut également tirer parti des sites web et sites web compromis qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur. Ces sites web peuvent contenir du contenu spécialement conçu qui pourrait exploiter la vulnérabilité. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs d’agir, généralement en les faisant cliquer sur un lien dans un message électronique ou dans un message Instantané Messenger qui les amène sur le site web de l’attaquant, ou en les obtenant pour ouvrir une pièce jointe envoyée par e-mail.

Cette mise à jour de sécurité est évaluée comme importante pour ASP.NET MVC 2, ASP.NET MVC 3, ASP.NET MVC 4, ASP.NET MVC 5 et APS.NET MVC 5.1. Pour plus d’informations, consultez la section Logiciels affectés de ce bulletin.

La mise à jour de sécurité résout la vulnérabilité en corrigeant la façon dont ASP.NET MVC gère l’encodage d’entrée. Pour plus d’informations sur la vulnérabilité, consultez la sous-section Questions fréquentes (FAQ) sur la vulnérabilité spécifique plus loin dans ce bulletin.

Recommandation. Microsoft recommande aux clients d’installer cette mise à jour de sécurité au plus tôt. Dans certains cas, les clients avec mise à jour automatique activée n’auront pas besoin d’effectuer d’action, car cette mise à jour de sécurité sera téléchargée et installée automatiquement. La mise à jour sera proposée aux systèmes avec mise à jour automatique activée si l’un des deux critères suivants est respecté :

  • MVC 2.0, MVC 3.0 ou MVC 4.0 est installé ou
  • Le système exécute Microsoft .NET Framework 4.5.1 et une application avec le composant affecté (System.Web.Mvc.dll pour ASP.NET MVC 2.0, 3.0, 4.0, 5.0 et 5.1) a été précédemment chargé.

Les clients disposant d’une mise à jour automatique désactivée dont les systèmes répondent à l’un des critères peuvent également obtenir la mise à jour en case activée pour les mises à jour à l’aide du service Microsoft Update. Les clients dont les systèmes ne répondent pas aux critères (ou les clients qui ne sont pas sûrs s’il s’agit du cas), doivent télécharger et installer la mise à jour manuellement à l’aide des liens du Centre de téléchargement Microsoft fournis dans le tableau Logiciel affecté de ce bulletin. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’article de la Base de connaissances Microsoft 294871. Pour les clients qui n’ont pas activé la mise à jour automatique, les étapes de la mise à jour automatique activée ou désactivée peuvent être utilisées pour activer la mise à jour automatique.

Les clients qui exécutent MVC 3.0, MVC 4.0, MVC 5.0 ou MVC 5.1 ont également la possibilité de déployer manuellement le package NuGet mis à jour, comme indiqué dans la section Déploiement des mises à jour de sécurité de ce bulletin. Notez que les clients sans contrôle de leur serveur qui doivent corriger leur application devront redéployer leur application après le téléchargement et l’installation du package NuGet mis à jour. Pour plus d’informations sur la prise en charge de la maintenance nuGet .NET, consultez .NET 4.5.1 Prend en charge les Mises à jour de sécurité Microsoft pour les bibliothèques NuGet .NET.

Article de la base de connaissances

  • Article de la base de connaissances : 2990942
  • Informations sur le fichier : Oui
  • Hachages SHA1/SHA2 : Oui
  • Problèmes connus : Aucun

 

Logiciel affecté

Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie du support pour votre version ou édition logicielle, consultez ASP.NET stratégies de cycle de vie de support.

Logiciel affecté 

Outils pour développeurs Impact maximal sur la sécurité Évaluation de gravité agrégée Mises à jour remplacé
ASP.NET MVC 2.0\ (2993939) Contournement des fonctionnalités de sécurité Important Aucun
ASP.NET MVC 3.0\ (2993937) Contournement des fonctionnalités de sécurité Important Aucun
ASP.NET MVC 4.0\ (2993928) Contournement des fonctionnalités de sécurité Important Aucun
ASP.NET MVC 5.0\ (2992080) Contournement des fonctionnalités de sécurité Important Aucun
ASP.NET MVC 5.1\ (2994397) Contournement des fonctionnalités de sécurité Important Aucun

 

Faq sur la mise à jour

Qu’est-ce que ASP.NET MVC ?
ASP.NET MVC (contrôleur de vue de modèle) est un ensemble d’outils basé sur des modèles pour la création de sites web dynamiques qui permet une séparation propre des préoccupations et qui donne aux clients un contrôle total sur le balisage pour un développement agréable et agile. ASP.NET MVC comprend de nombreuses fonctionnalités qui permettent un développement rapide et convivial TDD pour créer des applications sophistiquées qui utilisent les normes web les plus récentes. Pour plus d’informations, consultez En savoir plus sur ASP.NET MVC.

Qui sera proposée à la mise à jour via la mise à jour automatique ?
La mise à jour sera proposée aux systèmes avec mise à jour automatique activée si l’un des deux critères suivants est respecté :

  • MVC 2.0, MVC 3.0 ou MVC 4.0 est installé ou
  • Le système exécute Microsoft .NET Framework 4.5.1 et une application avec le composant affecté (System.Web.Mvc.dll pour ASP.NET MVC 2.0, 3.0, 4.0, 5.0 et 5.1) a été précédemment chargé.

Les clients disposant d’une mise à jour automatique désactivée dont les systèmes répondent à l’un des critères peuvent également obtenir la mise à jour en case activée pour les mises à jour à l’aide du service Microsoft Update. Les clients dont les systèmes ne répondent pas aux critères (ou les clients qui ne sont pas sûrs s’il s’agit du cas), doivent télécharger et installer la mise à jour manuellement à l’aide des liens du Centre de téléchargement Microsoft fournis dans le tableau Logiciel affecté de ce bulletin. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’article de la Base de connaissances Microsoft 294871. Pour les clients qui n’ont pas activé la mise à jour automatique, les étapes de la mise à jour automatique activée ou désactivée peuvent être utilisées pour activer la mise à jour automatique.

Les clients qui exécutent MVC 3.0, MVC 4.0, MVC 5.0 ou MVC 5.1 ont également la possibilité de déployer manuellement le package NuGet mis à jour, comme indiqué dans la section Déploiement des mises à jour de sécurité de ce bulletin. Notez que les clients sans contrôle de leur serveur qui doivent corriger leur application devront redéployer leur application après le téléchargement et l’installation du package NuGet mis à jour. Pour plus d’informations sur la prise en charge de la maintenance nuGet .NET, consultez .NET 4.5.1 Prend en charge les Mises à jour de sécurité Microsoft pour les bibliothèques NuGet .NET.

Comment faire déterminer quelle version de ASP.NET MVC est installée sur mon système ?
Pour MVC 4.0, MVC 5.0 ou MVC 5.1, vous devez avoir déployé le fichier binaire affecté (System.Web.MVC.dll) avec votre application. Vérifiez la version du fichier binaire dans le dossier bin de votre application. Pour MVC 2.0, MVC 3.0 ou MVC 4.0, reportez-vous à l’élément du panneau de configuration Ajouter ou supprimer des programmes pour la version de MVC installée.

Ajouter/supprimer des noms de programmes
Microsoft ASP.NET MVC 2
Microsoft ASP.NET MVC 3
Microsoft ASP.NET MVC 4 Runtime

Dois-je activer Microsoft Update sur mon ordinateur/serveur pour obtenir cette mise à jour ?
Non. Si vous ne souhaitez pas activer Microsoft Update sur votre système, vous pouvez télécharger la mise à jour directement à partir du Centre de téléchargement Microsoft (voir l’article de la Base de connaissances : 2990942)) ou mettre à jour vos packages NuGet vers la version sécurisée (voir la section Déploiement des mises à jour de sécurité de ce bulletin), puis redéployer votre application sur le serveur.

Que fait la mise à jour pour mon système et comment mon application MVC est-elle affectée ?  
La mise à jour MSI installe l’assembly fixe (System.Web.Mvc.dll) dans le GAC. Ainsi, les versions vulnérables de l’assembly (System.Web.Mvc.dll) qui ont été déployées avec des applications exécutées sur le serveur sont remplacées par la version du GAC, qui sera la version sécurisée.

Pour MVC 3.0 et MVC 4.0, il est possible d’installer le produit complet sur le serveur dans lequel la version vulnérable de System.Web.Mvc.dll est installée dans le GAC. Pour tenir compte de ce problème, la version de l’assembly a été incrémentée dans la version fixe et l’assembly de stratégie d’un éditeur associé est également installé pour rediriger les versions précédentes de l’assembly qui ont été déployées avec des applications. 

Dois-je m’inquiéter de cette mise à jour qui a un impact négatif sur les fonctionnalités du site web ?
Non. Cette mise à jour n’a pas d’impact négatif sur les fonctionnalités du site web. Toutefois, dans de rares cas où un développeur a utilisé la fonction Affect et codé manuellement la sortie en HTML, l’utilisateur peut voir des caractères codés deux fois. Par exemple, « »< peut s’afficher en tant que «< ». Cela peut être corrigé par le développeur en supprimant l’étape d’encodage manuelle. Ce problème n’affecte pas les fonctionnalités du site web ; il s’agit d’un artefact visuel uniquement.

MVC 3.0 RTM est installé sur mon système et après avoir installé la mise à jour, je ne peux plus créer de projet dans Visual Studio 2010, comment puis-je corriger cela ?
ASP.NET modèles MVC 3.0 pour Visual Studio 2010 reposent sur les assemblys installés dans le dossier Assemblys de référence. Étant donné que la version mise à jour de l’assembly pour MVC 3.0 est incrémentée, les modèles ne fonctionneront plus. Pour résoudre ce problème, installez l’actualisation des outils MVC 3.0.1 pour Visual Studio 2010.

J’ai installé la mise à jour et envisage maintenant de redéployer mes applications avec une version supérieure de ASP.NET MVC ; Y a-t-il des problèmes avec ce plan d’action ?  
Pas de problème. Lorsque vous déployez une application avec une version supérieure de System.Web.Mvc.dll que celle du GAC, la version de l’assembly déployée avec l’application est prioritaire.

J’utilise une version plus ancienne du logiciel abordé dans ce bulletin de sécurité. Que dois-je faire ? 
Le logiciel concerné répertorié dans ce bulletin a été testé pour déterminer quelles versions sont affectées. D’autres versions sont passées au-delà de leur cycle de vie de support. Pour plus d’informations sur le cycle de vie de support ASP.NET, consultez ASP.NET politiques de cycle de vie de support.

Il doit s’agir d’une priorité pour les clients qui ont des versions antérieures du logiciel à migrer vers des versions prises en charge afin d’éviter toute exposition potentielle aux vulnérabilités. Pour déterminer le cycle de vie de prise en charge de votre version logicielle, consultez Sélectionner un produit pour les informations de cycle de vie. Pour plus d’informations sur les Service Packs pour ces versions logicielles, consultez La politique de support du cycle de vie service Pack.

Les clients qui ont besoin d’un support personnalisé pour les logiciels plus anciens doivent contacter leur représentant de l’équipe de compte Microsoft, leur responsable de compte technique ou le représentant partenaire Microsoft approprié pour les options de support personnalisé. Les clients sans contrat Alliance, Premier ou Autorisé peuvent contacter leur bureau de vente Microsoft local. Pour obtenir des informations de contact, consultez le site web Microsoft Worldwide Information , puis sélectionnez le pays pour afficher la liste des numéros de téléphone. Lorsque vous appelez, demandez à parler avec le directeur commercial premier support local. Pour plus d’informations, consultez le FAQ Support Microsoft politique de cycle de vie.

Évaluations de gravité et identificateurs de vulnérabilité

Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin d’octobre. Pour plus d’informations, consultez Microsoft Exploitability Index.

Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés
Logiciel affecté Vulnérabilité XSS MVC - CVE-2014-4075 Évaluation de gravité agrégée
Outils pour développeurs
ASP.NET MVC 2.0 (2993939) Contournement important des fonctionnalités de sécurité Important
ASP.NET MVC 3.0 (2993937) Contournement important des fonctionnalités de sécurité Important
ASP.NET MVC 4.0 (2993928) Contournement important des fonctionnalités de sécurité Important
ASP.NET MVC 5.0 (2992080) Contournement important des fonctionnalités de sécurité Important
ASP.NET MVC 5.1 (2994397) Contournement important des fonctionnalités de sécurité Important

 

Vulnérabilité XSS MVC - CVE-2014-4075

Une vulnérabilité de script intersites (XSS) existe dans ASP.NET MVC qui pourrait permettre à un attaquant d’injecter un script côté client dans le navigateur web de l’utilisateur. Le script peut usurper du contenu, divulguer des informations ou entreprendre toute action que l’utilisateur peut entreprendre sur le site pour le compte de l’utilisateur ciblé.

Pour afficher cette vulnérabilité comme entrée standard dans la liste Des vulnérabilités et des expositions courantes, consultez CVE-2014-4075.

Facteurs d’atténuation

L’atténuation fait référence à un paramètre, à une configuration courante ou à une meilleure pratique générale, existant dans un état par défaut, qui peut réduire la gravité de l’exploitation d’une vulnérabilité. Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :

  • Dans un scénario d’attaque basé sur le web, un attaquant peut héberger un site web spécialement conçu pour exploiter cette vulnérabilité via un navigateur web, puis convaincre un utilisateur d’afficher le site web. L’attaquant peut également tirer parti des sites web et sites web compromis qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur. Ces sites web peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs d’agir, généralement en les faisant cliquer sur un lien dans un message électronique ou dans un message Instantané Messenger qui les amène sur le site web de l’attaquant, ou en les obtenant pour ouvrir une pièce jointe envoyée par e-mail.
  • Le filtre XSS dans Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 et Internet Explorer 11 empêche cette attaque pour les utilisateurs lors de la navigation vers des sites web dans la zone Internet. Notez que le filtre XSS dans Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 et Internet Explorer 11 est activé par défaut dans la zone Internet, mais n’est pas activé par défaut dans la zone Intranet.

Solutions de contournement

La solution de contournement fait référence à un paramètre ou à une modification de configuration qui ne corrige pas la vulnérabilité sous-jacente, mais qui permet de bloquer les vecteurs d’attaque connus avant d’appliquer la mise à jour. Microsoft a testé les solutions de contournement et les états suivants dans la discussion si une solution de contournement réduit les fonctionnalités :

  • Définissez les paramètres de zone de sécurité Internet et Intranet local sur « Élevé » pour bloquer les contrôles ActiveX et les scripts actifs dans ces zones
    Vous pouvez vous protéger contre l’exploitation de cette vulnérabilité en modifiant vos paramètres pour la zone de sécurité Internet afin de bloquer les contrôles ActiveX et les scripts actifs. Pour ce faire, définissez la sécurité de votre navigateur sur High.

    Pour augmenter le niveau de sécurité de navigation dans Internet Explorer, procédez comme suit :

    1. Dans le menu Outils Internet Explorer, cliquez sur Options Internet.
    2. Dans la boîte de dialogue Options Internet, cliquez sur l’onglet Sécurité , puis sur Internet.
    3. Sous Niveau de sécurité pour cette zone, déplacez le curseur vers Haut. Cela définit le niveau de sécurité pour tous les sites web que vous visitez à High.
    4. Cliquez sur Intranet local.
    5. Sous Niveau de sécurité pour cette zone, déplacez le curseur vers Haut. Cela définit le niveau de sécurité pour tous les sites web que vous visitez à High.
    6. Cliquez sur OK pour accepter les modifications et revenir à Internet Explorer.

Remarque Si aucun curseur n’est visible, cliquez sur Niveau par défaut, puis déplacez le curseur vers Haut.

Notez que la définition du niveau élevé peut entraîner le fonctionnement incorrect de certains sites web. Si vous avez des difficultés à utiliser un site web après avoir modifié ce paramètre et que vous êtes sûr que le site est sûr à utiliser, vous pouvez ajouter ce site à votre liste de sites approuvés. Cela permet au site de fonctionner correctement même avec le paramètre de sécurité défini sur High.

Impact de la solution de contournement. Il existe des effets secondaires pour bloquer les contrôles ActiveX et les scripts actifs. De nombreux sites web qui se trouvent sur Internet ou sur un intranet utilisent ActiveX ou Active Scripting pour fournir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peut utiliser des contrôles ActiveX pour fournir des menus, des formulaires de commande ou même des relevés de compte. Le blocage des contrôles ActiveX ou des scripts actifs est un paramètre global qui affecte tous les sites Internet et intranet. Si vous ne souhaitez pas bloquer les contrôles ActiveX ou les scripts actifs pour ces sites, suivez les étapes décrites dans « Ajouter des sites approuvés à la zone sites approuvés Internet Explorer ».

Ajouter des sites approuvés à la zone sites approuvés d’Internet Explorer

Après avoir défini Internet Explorer pour bloquer les contrôles ActiveX et les scripts actifs dans la zone Internet et dans la zone intranet local, vous pouvez ajouter des sites approuvés à la zone sites approuvés d’Internet Explorer. Cela vous permettra de continuer à utiliser des sites web approuvés exactement comme vous le faites aujourd’hui, tout en aidant à vous protéger contre cette attaque sur des sites non approuvés. Nous vous recommandons d’ajouter uniquement des sites approuvés à la zone sites approuvés.

Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité .
  2. Dans la zone Sélectionner un contenu web pour spécifier sa zone de paramètres de sécurité actuelle, cliquez sur Sites approuvés, puis sur Sites.
  3. Si vous souhaitez ajouter des sites qui ne nécessitent pas de canal chiffré, cliquez pour effacer la case Exiger la vérification du serveur (https :) pour tous les sites de cette zone case activée zone.
  4. Dans la zone Ajouter ce site web à la zone de zone , tapez l’URL d’un site approuvé, puis cliquez sur Ajouter.
  5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à la zone.
  6. Cliquez sur OK deux fois pour accepter les modifications et revenir à Internet Explorer.

Notez que vous ajoutez tous les sites que vous approuvez pour ne pas effectuer d’action malveillante sur votre système. En particulier, vous pouvez ajouter *.windowsupdate.microsoft.com et *.update.microsoft.com. Il s’agit des sites qui hébergeront la mise à jour et qui nécessitent un contrôle ActiveX pour installer la mise à jour.

FAQ

Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité de script intersites (XSS) susceptible d’entraîner une élévation de privilèges.

Quelles sont les causes de la vulnérabilité ?
La vulnérabilité est due au fait que ASP.NET MVC ne parvient pas à encoder correctement l’entrée.

Quel est le composant affecté par la vulnérabilité ?
System.Web.Mvc.dll est le composant affecté par la vulnérabilité.

Qu’est-ce que l’écriture de scripts intersites (XSS) ?
Le script intersites (XSS) est une classe de vulnérabilité de sécurité qui peut permettre à un attaquant d’injecter un script dans la réponse à une demande de page web. Ce script est ensuite exécuté par l’application demandée, souvent par un navigateur web. Le script peut ensuite usurper du contenu, divulguer des informations ou entreprendre toute action que l’utilisateur pourrait entreprendre sur le site web concerné, au nom de l’utilisateur ciblé.

Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut injecter un script côté client dans l’instance de l’utilisateur d’Internet Explorer. Le script peut usurper du contenu, divulguer des informations ou entreprendre toute action que l’utilisateur peut entreprendre sur le site pour le compte de l’utilisateur ciblé.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Dans un scénario d’attaque basé sur le web, un attaquant peut convaincre l’utilisateur de visiter une page web qui contient du contenu spécialement conçu pour exploiter la vulnérabilité.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Les serveurs exécutant des versions affectées de ASP.NET MVC sont principalement exposés à cette vulnérabilité.

Que fait la mise à jour ?
La mise à jour résout la vulnérabilité en corrigeant la façon dont ASP.NET MVC gère l’encodage de l’entrée.

Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Oui. Cette vulnérabilité a été divulguée publiquement. Il a été affecté à la vulnérabilité commune et au numéro d’exposition CVE-2014-4075.

Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients lorsque ce bulletin de sécurité a été émis à l’origine.

Outils et conseils de détection et de déploiement

Plusieurs ressources sont disponibles pour aider les administrateurs à déployer des mises à jour de sécurité. 

  • Microsoft Baseline Security Analyzer (Mo SA) permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et les configurations incorrectes de sécurité courantes. 
  • Windows Server Update Services (WSUS), Systems Management Server (SMS) et System Center Configuration Manager aident les administrateurs à distribuer les mises à jour de sécurité. 
  • Les composants de l’évaluateur de compatibilité de mise à jour inclus avec la compatibilité des applications Shared Computer Toolkit facilitent le test et la validation des mises à jour Windows sur les applications installées. 

Pour plus d’informations sur ces outils et d’autres outils disponibles, consultez Outils de sécurité pour les professionnels de l’informatique. 

Déploiement des mises à jour de sécurité

ASP.NET MVC 2.0

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.

Vue d’ensemble La mise à jour pour ASP.NET MVC 2.0 est fournie via la mise à jour automatique et est également disponible pour une installation manuelle via le Centre de téléchargement Microsoft.
Informations d’installation
Nom du fichier de package DLC et lien de téléchargement AspNetMVC2.msi
Nom de fichier du package NuGet Non applicable
Procédure de mise à jour NuGet Non applicable
Impact L’installation de cette mise à jour entraîne le redémarrage d’IIS.
Configuration requise pour le redémarrage Dans certains cas, cette mise à jour ne nécessite pas de redémarrage. Si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche qui vous conseille de redémarrer.
Informations de suppression Pour supprimer cette mise à jour, vous devez utiliser l’élément Ajouter ou supprimer des programmes dans Panneau de configuration pour désinstaller le produit complet ASP.NET MVC 2 (Microsoft ASP.NET MVC 2), puis installer la version précédente du produit.
Mettre à jour les informations Consultez l’article 2993939 de la Base de connaissances Microsoft
Installer la vérification Utilisez l’élément Ajouter ou supprimer des programmes dans Panneau de configuration et recherchez Microsoft ASP.NET MVC2. La version installée est 2.0.60926.0.

 

ASP.NET MVC 3.0

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.

Vue d’ensemble La mise à jour pour ASP.NET MVC 3.0 est fournie via la mise à jour automatique et est également disponible pour une installation manuelle via le Centre de téléchargement Microsoft ou NuGet.
Informations d’installation
Nom du fichier de package DLC et lien de téléchargement AspNetMVC3.msi
Nom de fichier du package NuGet Microsoft.AspNet.Mvc.3.0.50813.1.nupkg
Procédure de mise à jour NuGet Mettez à jour vos packages de projet Visual Studio à l’aide de NuGet, recompilez votre application et déployez 1. Ouvrez votre solution dans Visual Studio. 2. Dans Explorateur de solutions, cliquez avec le bouton droit sur le nœud Références, puis cliquez sur Gérer les packages NuGet. 3. Sélectionnez l’onglet Mises à jour. Une liste de packages avec mises à jour s’affiche dans le volet central. 4. Sélectionnez le package de mise à jour de votre version de ASP.NET MVC, puis cliquez sur Mettre à jour. 5. Compilez et déployez votre application web. Pour plus d’informations sur la gestion des packages NuGet à l’aide de la boîte de dialogue NuGet, consultez Gestion des packages NuGet à l’aide de la boîte de dialogue.
Impact L’installation de cette mise à jour entraîne le redémarrage d’IIS.
Configuration requise pour le redémarrage Dans certains cas, cette mise à jour ne nécessite pas de redémarrage. Si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche qui vous conseille de redémarrer.
Informations de suppression Pour supprimer cette mise à jour, vous devez utiliser l’élément Ajouter ou supprimer des programmes dans Panneau de configuration pour désinstaller le produit complet ASP.NET MVC 3 (Microsoft ASP.NET MVC 3), puis installer la version précédente du produit.
Mettre à jour les informations Consultez l’article 2993937 de la Base de connaissances Microsoft
Installer la vérification Utilisez l’élément Ajouter ou supprimer des programmes dans Panneau de configuration et recherchez Microsoft ASP.NET MVC 3. La version installée est 3.0.50813.0. Pour la mise à jour NuGet, la version de fichier du fichier binaire déployé est 3.0.50813.0.

 

ASP.NET MVC 4.0

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.

Vue d’ensemble La mise à jour pour ASP.NET MVC 4.0 est fournie via la mise à jour automatique et est également disponible pour une installation manuelle via le Centre de téléchargement Microsoft ou NuGet.
Informations d’installation
Nom du fichier de package DLC et lien de téléchargement AspNetMVC4.msi
Nom de fichier du package NuGet Microsoft.AspNet.Mvc.4.0.40804.0.nupkg
Procédure de mise à jour NuGet Mettez à jour vos packages de projet Visual Studio à l’aide de NuGet, recompilez votre application et déployez 1. Ouvrez votre solution dans Visual Studio. 2. Dans Explorateur de solutions, cliquez avec le bouton droit sur le nœud Références, puis cliquez sur Gérer les packages NuGet. 3. Sélectionnez l’onglet Mises à jour. Une liste de packages avec mises à jour s’affiche dans le volet central. 4. Sélectionnez le package de mise à jour de votre version de ASP.NET MVC, puis cliquez sur Mettre à jour. 5. Compilez et déployez votre application web. Pour plus d’informations sur la gestion des packages NuGet à l’aide de la boîte de dialogue NuGet, consultez Gestion des packages NuGet à l’aide de la boîte de dialogue.
Impact L’installation de cette mise à jour entraîne le redémarrage d’IIS.
Configuration requise pour le redémarrage Dans certains cas, cette mise à jour ne nécessite pas de redémarrage. Si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche qui vous conseille de redémarrer.
Informations de suppression Pour supprimer cette mise à jour, vous devez utiliser l’élément Ajouter ou supprimer des programmes dans Panneau de configuration pour désinstaller le produit complet ASP.NET MVC 4 (Microsoft ASP.NET Runtime MVC 4), puis installer la version précédente du produit.
Mettre à jour les informations Consultez l’article de la Base de connaissances Microsoft 2993928
Installer la vérification Utilisez l’élément Ajouter ou supprimer des programmes dans Panneau de configuration et recherchez Microsoft ASP.NET Runtime MVC 4. La version installée est 4.0.40804.0. Pour la mise à jour NuGet, la version de fichier du fichier binaire déployé est 4.0.40804.0.

 

ASP.NET MVC 5.0

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.

Vue d’ensemble La mise à jour pour ASP.NET MVC 5.0 est disponible pour une installation manuelle via le Centre de téléchargement Microsoft ou NuGet. Cette mise à jour est un correctif pour le produit ASP.NET MVC 5.0.
Informations d’installation
Nom du fichier de package DLC et lien de téléchargement AspNetWebFxUpdate_Ko 2992080.msi
Nom de fichier du package NuGet Microsoft.AspNet.Mvc.5.0.2.nupkg
Procédure de mise à jour NuGet Mettez à jour vos packages de projet Visual Studio à l’aide de NuGet, recompilez votre application et déployez 1. Ouvrez votre solution dans Visual Studio. 2. Dans Explorateur de solutions, cliquez avec le bouton droit sur le nœud Références, puis cliquez sur Gérer les packages NuGet. 3. Sélectionnez l’onglet Mises à jour. Une liste de packages avec mises à jour s’affiche dans le volet central. 4. Sélectionnez le package de mise à jour de votre version de ASP.NET MVC, puis cliquez sur Mettre à jour. 5. Compilez et déployez votre application web. Pour plus d’informations sur la gestion des packages NuGet à l’aide de la boîte de dialogue NuGet, consultez Gestion des packages NuGet à l’aide de la boîte de dialogue.
Impact L’installation de cette mise à jour entraîne le redémarrage d’IIS.
Configuration requise pour le redémarrage Dans certains cas, cette mise à jour ne nécessite pas de redémarrage. Si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche qui vous conseille de redémarrer.
Informations de suppression Utilisez l’élément Ajouter ou supprimer des programmes dans Panneau de configuration et cliquez avec le bouton droit pour supprimer la mise à jour. Le nom de mise à jour indiqué est Microsoft ASP.NET Web Frameworks 5.0 Security Update (Ko 2992080).
Mettre à jour les informations Consultez l’article 2992080 de la Base de connaissances Microsoft
Installer la vérification Utilisez l’élément Ajouter ou supprimer des programmes dans Panneau de configuration et recherchez Microsoft ASP.NET Web Frameworks 5.0 Security Update (Ko 2992080). Pour la mise à jour NuGet, la version de fichier du fichier binaire déployé est 5.0.20821.0.

 

ASP.NET MVC 5.1

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.

Vue d’ensemble La mise à jour de ASP.NET MVC 5.1 est disponible pour une installation manuelle via le Centre de téléchargement Microsoft ou NuGet. Cette mise à jour est un correctif pour le produit ASP.NET MVC 5.1.
Informations d’installation
Nom du fichier de package DLC et lien de téléchargement AspNetWebFxUpdate_Ko 2994397.msi
Nom de fichier du package NuGet Microsoft.AspNet.Mvc.5.1.3.nupkg
Procédure de mise à jour NuGet Mettez à jour vos packages de projet Visual Studio à l’aide de NuGet, recompilez votre application et déployez 1. Ouvrez votre solution dans Visual Studio. 2. Dans Explorateur de solutions, cliquez avec le bouton droit sur le nœud Références, puis cliquez sur Gérer les packages NuGet. 3. Sélectionnez l’onglet Mises à jour. Une liste de packages avec mises à jour s’affiche dans le volet central. 4. Sélectionnez le package de mise à jour de votre version de ASP.NET MVC, puis cliquez sur Mettre à jour. 5. Compilez et déployez votre application web. Pour plus d’informations sur la gestion des packages NuGet à l’aide de la boîte de dialogue NuGet, consultez Gestion des packages NuGet à l’aide de la boîte de dialogue.
Impact L’installation de cette mise à jour entraîne le redémarrage d’IIS.
Configuration requise pour le redémarrage Dans certains cas, cette mise à jour ne nécessite pas de redémarrage. Si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche qui vous conseille de redémarrer.
Informations de suppression Utilisez l’élément Ajouter ou supprimer des programmes dans Panneau de configuration et cliquez avec le bouton droit pour supprimer la mise à jour. Le nom de mise à jour indiqué est Microsoft ASP.NET Web Frameworks 5.1 Security Update (Ko 2994397).
Mettre à jour les informations Consultez l’article 2994397 de la Base de connaissances Microsoft
Installer la vérification Utilisez l’élément Ajouter ou supprimer des programmes dans Panneau de configuration et recherchez Microsoft ASP.NET Web Frameworks 5.1 Security Update (Ko 2994397). Pour la mise à jour NuGet, la version de fichier du fichier binaire déployé est 5.1.20821.0.

 

Autres informations

Programme Microsoft Active Protections (MAPP)

Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, accédez aux sites web de protection actifs fournis par les partenaires du programme, répertoriés dans les partenaires microsoft Active Protections Program (MAPP).

Support

Comment obtenir de l’aide et de la prise en charge de cette mise à jour de sécurité

Exclusion de responsabilité

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (14 octobre 2014) : Bulletin publié.

Page générée 2014-10-15 12 :02Z-07 :00.