Bulletin de sécurité Microsoft MS15-041 - Important
La vulnérabilité dans .NET Framework pourrait autoriser la divulgation d’informations (3048010)
Publication : 14 avril 2015 | Mise à jour : 12 mai 2015
Version : 2.0
Résumé
Cette mise à jour de sécurité résout une vulnérabilité dans Microsoft .NET Framework. La vulnérabilité peut autoriser la divulgation d’informations si un attaquant envoie une requête web spécialement conçue à un serveur affecté avec des messages d’erreur personnalisés désactivés. Un attaquant qui a réussi à exploiter la vulnérabilité serait en mesure d’afficher des parties d’un fichier de configuration web, ce qui pourrait exposer des informations sensibles.
Cette mise à jour de sécurité est évaluée comme importante pour Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5, Microsoft .NET Framework 4.5.1 et Microsoft .NET Framework 4.5.2 sur les versions affectées de Microsoft Windows. Pour plus d’informations, consultez la section Logiciels affectés.
La mise à jour de sécurité résout la vulnérabilité en supprimant les détails du contenu du fichier des messages d’erreur qui facilitent la divulgation d’informations. Pour plus d’informations sur la vulnérabilité, consultez la sous-section Questions fréquentes (FAQ) sur la vulnérabilité spécifique.
Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3048010.
Logiciel affecté
Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
| Système d’exploitation | Composant | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Mises à jour remplacé |
|---|---|---|---|---|
| Windows Server 2003 | ||||
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (3037572) | Divulgation d’informations | Important | 2901115 dans MS14-009 |
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037577) | Divulgation d’informations | Important | 2901111 dans MS14-009 |
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Divulgation d’informations | Important | 2901110 dans MS14-009 |
| Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037577) | Divulgation d’informations | Important | 2901111 dans MS14-009 |
| Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Divulgation d’informations | Important | 2901110 dans MS14-009 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium | Microsoft .NET Framework 2.0 Service Pack 2 (3037577) | Divulgation d’informations | Important | 2901111 dans MS14-009 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium | Microsoft .NET Framework 4[1](3037578) | Divulgation d’informations | Important | 2901110 dans MS14-009 |
| Windows Vista | ||||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037573) | Divulgation d’informations | Important | 2901113 dans MS14-009 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Divulgation d’informations | Important | 2901110 dans MS14-009 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgation d’informations | Important | 2901126 dans MS14-009 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037573) | Divulgation d’informations | Important | 2901113 dans MS14-009 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Divulgation d’informations | Important | 2901110 dans MS14-009 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgation d’informations | Important | 2901126 dans MS14-009 |
| Windows Server 2008 | ||||
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037573) | Divulgation d’informations | Important | 2901113 dans MS14-009 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Divulgation d’informations | Important | 2901110 dans MS14-009 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgation d’informations | Important | 2901126 dans MS14-009 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037573) | Divulgation d’informations | Important | 2901113 dans MS14-009 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Divulgation d’informations | Important | 2901110 dans MS14-009 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgation d’informations | Important | 2901126 dans MS14-009 |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037573) | Divulgation d’informations | Important | 2901113 dans MS14-009 |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Divulgation d’informations | Important | 2901110 dans MS14-009 |
| Windows 7 | ||||
| Windows 7 pour systèmes 32 bits Service Pack 1 | Microsoft .NET Framework 3.5.1 (3037574) | Divulgation d’informations | Important | 2901112 dans MS14-009 |
| Windows 7 pour systèmes 32 bits Service Pack 1 | Microsoft .NET Framework 4[1](3037578) | Divulgation d’informations | Important | 2901110 dans MS14-009 |
| Windows 7 pour systèmes 32 bits Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgation d’informations | Important | 2901126 dans MS14-009 |
| Windows 7 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3037574) | Divulgation d’informations | Important | 2901112 dans MS14-009 |
| Windows 7 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4[1](3037578) | Divulgation d’informations | Important | 2901110 dans MS14-009 |
| Windows 7 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgation d’informations | Important | 2901126 dans MS14-009 |
| Windows Server 2008 R2 | ||||
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3037574) | Divulgation d’informations | Important | 2901112 dans MS14-009 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4[1](3037578) | Divulgation d’informations | Important | 2901110 dans MS14-009 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgation d’informations | Important | 2901126 dans MS14-009 |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 (3037574) | Divulgation d’informations | Important | 2901112 dans MS14-009 |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 | Microsoft .NET Framework 4[1](3037578) | Divulgation d’informations | Important | 2901110 dans MS14-009 |
| Windows 8 et Windows 8.1 | ||||
| Windows 8 pour les systèmes 32 bits | Microsoft .NET Framework 3.5 (3037575) | Divulgation d’informations | Important | 2901120 dans MS14-009 |
| Windows 8 pour les systèmes 32 bits | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037580) | Divulgation d’informations | Important | 2901119 et 2901127 dans MS14-009 |
| Windows 8 pour systèmes x64 | Microsoft .NET Framework 3.5 (3037575) | Divulgation d’informations | Important | 2901120 dans MS14-009 |
| Windows 8 pour systèmes x64 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037580) | Divulgation d’informations | Important | 2901119 et 2901127 dans MS14-009 |
| Windows 8.1 pour les systèmes 32 bits | Microsoft .NET Framework 3.5 (3037576) | Divulgation d’informations | Important | 2901125 dans MS14-009 |
| Windows 8.1 pour les systèmes 32 bits | Microsoft .NET Framework 4.5.1/4.5.2 (3037579) | Divulgation d’informations | Important | 2901128 dans MS14-009 |
| Windows 8.1 pour les systèmes x64 | Microsoft .NET Framework 3.5 (3037576) | Divulgation d’informations | Important | 2901125 dans MS14-009 |
| Windows 8.1 pour les systèmes x64 | Microsoft .NET Framework 4.5.1/4.5.2 (3037579) | Divulgation d’informations | Important | 2901128 dans MS14-009 |
| Windows Server 2012 et Windows Server 2012 R2 | ||||
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3037575) | Divulgation d’informations | Important | 2901120 dans MS14-009 |
| Windows Server 2012 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037580) | Divulgation d’informations | Important | 2901119 et 2901127 dans MS14-009 |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3037576) | Divulgation d’informations | Important | 2901125 dans MS14-009 |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.5.1/4.5.2 (3037579) | Divulgation d’informations | Important | 2901128 dans MS14-009 |
| Windows RT et Windows RT 8.1 | ||||
| Windows RT | Microsoft .NET Framework 4.5/4.5.1/4.5.2[2](3037580) | Divulgation d’informations | Important | 2901119 et 2901127 dans MS14-009 |
| Windows RT 8.1 | Microsoft .NET Framework 4.5.1/4.5.2[2](3037579) | Divulgation d’informations | Important | 2901128 dans MS14-009 |
| Option d’installation server Core | ||||
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) | Microsoft .NET Framework 3.5.1 (3037574) | Divulgation d’informations | Important | 2901112 dans MS14-009 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) | Microsoft .NET Framework 4[1](3037578) | Divulgation d’informations | Important | 2901110 dans MS14-009 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgation d’informations | Important | 2901126 dans MS14-009 |
| Windows Server 2012 (installation minimale) | Microsoft .NET Framework 3.5 (3037575) | Divulgation d’informations | Important | 2901120 dans MS14-009 |
| Windows Server 2012 (installation minimale) | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037580) | Divulgation d’informations | Important | 2901119 et 2901127 dans MS14-009 |
| Windows Server 2012 R2 (installation minimale) | Microsoft .NET Framework 3.5 (3037576) | Divulgation d’informations | Important | 2901125 dans MS14-009 |
| Windows Server 2012 R2 (installation minimale) | Microsoft .NET Framework 4.5.1/4.5.2 (3037579) | Divulgation d’informations | Important | 2901128 dans MS14-009 |
[1]. Profil client NET Framework 4 et .NET Framework 4 affecté.
[2]Cette mise à jour est disponible uniquement via Windows Update .
Faq sur la mise à jour
Comment faire déterminer quelle version de Microsoft .NET Framework est installée ?
Vous pouvez installer et exécuter plusieurs versions de .NET Framework sur un système et installer les versions dans n’importe quel ordre. Pour plus d’informations, consultez l’article 318785 de la Base de connaissances Microsoft.
Quelle est la différence entre le profil client .NET Framework 4 et .NET Framework 4 ?
Les packages redistribuables .NET Framework version 4 sont disponibles dans deux profils : .NET Framework 4 et .NET Framework 4 Client Profile. Le profil client .NET Framework 4 est un sous-ensemble du profil .NET Framework 4 optimisé pour les applications clientes. Il fournit des fonctionnalités pour la plupart des applications clientes, notamment windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF) et les fonctionnalités ClickOnce. Cela permet un déploiement plus rapide et un package d’installation plus petit pour les applications qui ciblent le profil client .NET Framework 4. Pour plus d’informations, consultez l’article MSDN, .NET Framework Client Profile.
Il existe plusieurs packages de mise à jour disponibles pour certains des logiciels affectés. Dois-je installer toutes les mises à jour répertoriées dans la table Software affectée pour le logiciel ?
Oui. Les clients doivent appliquer toutes les mises à jour proposées pour le logiciel installé sur leurs systèmes.
Dois-je installer ces mises à jour de sécurité dans une séquence particulière ?
Non. Plusieurs mises à jour pour un système donné peuvent être appliquées dans n’importe quelle séquence.
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin d’avril.
| Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés | ||
|---|---|---|
| Logiciel affecté | vulnérabilité de divulgation d’informations ASP.NET - CVE-2015-1648 | Évaluation de gravité agrégée |
| Microsoft .NET Framework 1.1 Service Pack 1 | ||
| Microsoft .NET Framework 1.1 Service Pack 1 sur Microsoft Windows Server 2003 Service Pack 2 (3037572) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 | ||
| Microsoft .NET Framework 2.0 Service Pack 2 lorsqu’il est installé sur Microsoft Windows Server 2003 Service Pack 2 (3037577) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 installé sur Microsoft Windows Server 2003 x64 Edition Service Pack 2 (3037577) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 lorsqu’il est installé sur Microsoft Windows Server 2003 pour les systèmes Itanium Service Pack 2 (3037577) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Vista Service Pack 2 (3037573) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Vista x64 Edition Service Pack 2 (3037573) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3037573) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Server 2008 pour systèmes x64 Service Pack 2 (3037573) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3037573) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 3.5 | ||
| Microsoft .NET Framework 3.5 sur Windows 8 pour les systèmes 32 bits (3037575) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 3.5 sur Windows 8 pour systèmes x64 (3037575) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 3.5 sur Windows Server 2012 (3037575) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 3.5 sur Windows Server 2012 (installation Server Core) (3037575) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 3.5 sur Windows 8.1 pour les systèmes 32 bits (3037576) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 3.5 sur Windows 8.1 pour les systèmes x64 (3037576) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 3.5 sur Windows Server 2012 R2 (3037576) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 3.5 sur Windows Server 2012 R2 (installation Server Core) (3037576) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 3.5.1 | ||
| Microsoft .NET Framework 3.5.1 sur Windows 7 pour systèmes 32 bits Service Pack 1 (3037574) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 3.5.1 sur Windows 7 pour systèmes x64 Service Pack 1 (3037574) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3037574) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) (3037574) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes Itanium Service Pack 1 (3037574) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4 | ||
| Microsoft .NET Framework 4 installé sur Windows Server 2003 Service Pack 2 (3037578)[1] | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4 quand il est installé sur Windows Server 2003 x64 Edition Service Pack 2 (3037578)[1] | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2003 avec SP2 pour les systèmes itanium (3037578)[1] | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4 sur Windows Vista Service Pack 2 (3037578)[1] | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4 sur Windows Vista x64 Edition Service Pack 2 (3037578)[1] | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4 quand il est installé sur Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3037578)[1] | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 pour systèmes x64 Service Pack 2 (3037578)[1] | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3037578)[1] | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows 7 pour systèmes 32 bits Service Pack 1 (3037578)[1] | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4 quand il est installé sur Windows 7 pour systèmes x64 Service Pack 1 (3037578)[1] | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3037578)[1] | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) (3037578)[1] | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (3037578)[1] | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 | ||
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Vista Service Pack 2 (3037581) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Vista x64 Edition Service Pack 2 (3037581) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 lorsqu’il est installé sur Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3037581) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4/4.5.1/4.5.2 lorsqu’il est installé sur Windows Server 2008 pour systèmes x64 Service Pack 2 (3037581) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows 7 pour systèmes 32 bits Service Pack 1 (3037581) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows 7 pour systèmes x64 Service Pack 1 (3037581) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3037581) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) (3037581) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows 8 pour les systèmes 32 bits (3037580) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5.1/4.5.2 sur Windows 8.1 pour les systèmes 32 bits (3037579) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows 8 pour systèmes x64 (3037580) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5.1/4.5.2 sur Windows 8.1 pour les systèmes x64 (3037579) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows Server 2012 (3037580) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows Server 2012 (installation Server Core) (3037580) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5.1/4.5.2 sur Windows Server 2012 R2 (3037579) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5.1/4.5.2 sur Windows Server 2012 R2 (installation Server Core) (3037579) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows RT (3037580) | Divulgation d’informations importantes | Important |
| Microsoft .NET Framework 4.5.1/4.5.2 sur Windows RT 8.1 (3037579) | Divulgation d’informations importantes | Important |
[1]. Profil client NET Framework 4 et .NET Framework 4 affecté.
Informations sur la vulnérabilité
vulnérabilité de divulgation d’informations ASP.NET - CVE-2015-1648
Une vulnérabilité de divulgation d’informations existe dans ASP.NET qui est provoquée lorsque ASP.NET gère incorrectement certaines demandes sur les systèmes qui ont des messages d’erreur personnalisés désactivés. Un attaquant qui a réussi à exploiter la vulnérabilité serait en mesure d’afficher des parties d’un fichier de configuration web, ce qui pourrait exposer des informations sensibles.
Pour exploiter cette vulnérabilité, un attaquant peut envoyer une demande web spécialement conçue à un serveur concerné avec l’intention de déclencher un message d’erreur qui pouvait divulguer des informations relatives à la ligne source qui provient de l’exception. En fin de compte, cela pourrait divulguer des informations qui n’étaient pas destinées à être accessibles. La mise à jour de sécurité résout la vulnérabilité en supprimant les détails du contenu du fichier des messages d’erreur qui facilitent la divulgation d’informations.
Par défaut, ASP.NET applications ne sont pas exposées à cette vulnérabilité, car elles sont configurées pour ne pas afficher de messages d’erreur détaillés pour les utilisateurs distants. Parfois, les développeurs activent des messages d’erreur détaillés pour collecter des informations, puis ne parviennent pas à les désactiver, ce qui expose ensuite l’application à cette vulnérabilité.
Le paramètre par défaut dans web.config est le suivant :
<customerrors mode="remoteOnly">
Dans un environnement de production, cette entrée est modifiée en procédant comme suit :
</customerrors><customerrors mode="On" defaultredirect="ErrorPage.htm">
En règle générale, dans les environnements de production, les développeurs ne doivent jamais utiliser les éléments suivants :
</customerrors><customerrors mode="off">
Notez que les messages d’erreur sont personnalisables en fonction du code d’erreur. Pour plus d’informations, consultez customErrors, élément (ASP.NET Paramètres Schema).
En guise de protection supplémentaire contre la désactivation accidentelle des erreurs personnalisées, les administrations des machines peuvent activer le mode de vente au détail. Pour plus d’informations, consultez la solution de contournement associée dans ce bulletin.
Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients.
Facteurs d’atténuation
Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :
- Seuls les serveurs IIS qui fournissent des messages d’erreur détaillés sont affectés ; les serveurs de production sont peu susceptibles d’être affectés.
Solutions de contournement
Les solutions de contournement suivantes peuvent être utiles dans votre situation :
Configurer .NET en mode vente au détail sur tous les serveurs web
Dans les fichiers machine.config de tous les serveurs web, ajoutez le paramètre «< deployment retail="true » /> » à la section « system.web » de la section « configuration ».
Sur les systèmes 32 bits, machine.config se trouve à %windir%\Microsoft.NET\Framework\[version]\config\machine.config.
Sur les systèmes 64 bits, machine.config se trouve à %windir%\Microsoft.NET\Framework64\[version]\config\machine.config.config.
Pour plus d’informations sur ce paramètre, consultez l’élément de déploiement (ASP.NET Paramètres Schema).
Impact de la solution de contournement. Tous les ASP.NET messages d’erreur détaillés de tous les sites web sur chaque serveur seront supprimés.
Comment annuler la solution de contournement.
Pour annuler la solution de contournement, supprimez le paramètre ajouté par le biais de cette procédure.
Activer les erreurs personnalisées pour tous les sites web
Dans les fichiers web.config de tous les sites web, vérifiez que le paramètre « customErrors » (dans la section « system.web » de la section « configuration ») n’est pas défini sur « off ». Coffre valeurs sont « on », « remoteonly » ou aucun paramètre du tout.
Pour plus d’informations sur le paramètre customErrors, consultez customErrors, élément (ASP.NET Paramètres Schema).
Impact de la solution de contournement. Tous les ASP.NET messages d’erreur détaillés de tous les sites web seront supprimés.
Comment annuler la solution de contournement.
Pour annuler la solution de contournement, rétablissez les paramètres qui ont été établis par le biais de cette procédure.
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (14 avril 2015) : Bulletin publié.
- V2.0 (12 mai 2015) : Bulletin réexéché pour résoudre les problèmes liés à la mise à jour 3037580 pour Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur les éditions affectées de Microsoft Windows. Les clients exécutant ces versions de .NET Framework sont encouragés à installer la nouvelle version de la mise à jour 3037580 pour être protégés contre la vulnérabilité abordée dans ce bulletin. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 3037580 .
Page générée 2015-05-06 13 :24Z-07 :00.