Microsoft Security Bulletin MS14-059 - Importante
La vulnerabilità in ASP.NET MVC potrebbe consentire il bypass delle funzionalità di sicurezza (2990942)
Pubblicato: 14 ottobre 2014
Versione: 1.0
Informazioni generali
Schema riepilogativo
Questo aggiornamento della sicurezza risolve una vulnerabilità divulgata pubblicamente in ASP.NET MVC. La vulnerabilità potrebbe consentire il bypass della funzionalità di sicurezza se un utente malintenzionato convince un utente a fare clic su un collegamento appositamente creato o visitare una pagina Web che contiene contenuto appositamente progettato per sfruttare la vulnerabilità. In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web appositamente progettato per sfruttare la vulnerabilità tramite un Web browser e quindi convincere un utente a visualizzare il sito Web. L'utente malintenzionato potrebbe anche sfruttare i siti Web compromessi e i siti Web che accettano o ospitano contenuti o annunci forniti dall'utente. Questi siti Web potrebbero contenere contenuti appositamente creati che potrebbero sfruttare la vulnerabilità. In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di forzare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato dovrà invece convincere gli utenti a intervenire, in genere facendogli clic su un collegamento in un messaggio di posta elettronica o in un messaggio di Instant Messenger che li porta al sito Web dell'utente malintenzionato o ottenendoli per aprire un allegato inviato tramite posta elettronica.
Questo aggiornamento della sicurezza è valutato Importante per ASP.NET MVC 2, ASP.NET MVC 3, ASP.NET MVC 4, ASP.NET MVC 5 e piattaforma di strumenti analitici.NET MVC 5.1. Per altre informazioni, vedere la sezione Software interessato di questo bollettino.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui ASP.NET MVC gestisce la codifica dell'input. Per altre informazioni sulla vulnerabilità, vedere la sottosezione Domande frequenti per la vulnerabilità specifica più avanti in questo bollettino.
Elemento consigliato. Microsoft consiglia ai clienti di installare questo aggiornamento della sicurezza nella prima opportunità. In alcuni casi, i clienti con aggiornamento automatico abilitato non dovranno eseguire alcuna azione perché questo aggiornamento della sicurezza verrà scaricato e installato automaticamente. L'aggiornamento verrà offerto ai sistemi con aggiornamento automatico abilitato se vengono soddisfatti uno dei due criteri seguenti:
- MVC 2.0, MVC 3.0 o MVC 4.0 è installato oppure
- Il sistema esegue Microsoft .NET Framework 4.5.1 e un'applicazione con il componente interessato (System.Web.Mvc.dll per ASP.NET MVC 2.0, 3.0, 4.0, 5.0 e 5.1) è stato caricato in precedenza
I clienti con aggiornamento automatico disabilitato i cui sistemi soddisfano uno dei criteri possono anche ottenere l'aggiornamento controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . I clienti i cui sistemi non soddisfano i criteri (o i clienti che non sono sicuri se questo è il caso), devono scaricare e installare manualmente l'aggiornamento usando i collegamenti dell'Area download Microsoft forniti nella tabella Software interessato di questo bollettino. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871. Per i clienti che non hanno abilitato l'aggiornamento automatico, è possibile usare i passaggi descritti in Attivare o disattivare l'aggiornamento automatico per abilitare l'aggiornamento automatico.
I clienti che eseguono MVC 3.0, MVC 4.0, MVC 5.0 o MVC 5.1 hanno anche la possibilità di distribuire manualmente il pacchetto NuGet aggiornato, come descritto nella sezione Distribuzione aggiornamenti della sicurezza di questo bollettino. Si noti che i clienti senza controllo del server che devono applicare patch all'applicazione dovranno ridistribuire l'applicazione dopo aver scaricato e installato il pacchetto NuGet aggiornato. Per altre informazioni sul supporto per la manutenzione di .NET NuGet, vedere .NET 4.5.1 Supports Microsoft Security Aggiornamenti for .NET NuGet Libraries (Supporto di Microsoft Security Aggiornamenti per le librerie NuGet .NET).
Articolo della Knowledge Base
- Articolo della Knowledge Base: 2990942
- Informazioni file: Sì
- Hash SHA1/SHA2: Sì
- Problemi noti: Nessuno
Software interessato
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere ASP.NET Criteri relativi al ciclo di vita del supporto.
Software interessato
| Strumenti di sviluppo | Impatto massimo sulla sicurezza | Valutazione della gravità aggregata | Aggiornamenti sostituito |
|---|---|---|---|
| ASP.NET MVC 2.0\ (2993939) | Bypass delle funzionalità di sicurezza | Importante | None |
| ASP.NET MVC 3.0\ (2993937) | Bypass delle funzionalità di sicurezza | Importante | None |
| ASP.NET MVC 4.0\ (2993928) | Bypass delle funzionalità di sicurezza | Importante | None |
| ASP.NET MVC 5.0\ (2992080) | Bypass delle funzionalità di sicurezza | Importante | None |
| ASP.NET MVC 5.1\ (2994397) | Bypass delle funzionalità di sicurezza | Importante | None |
Domande frequenti su Aggiornamento
Che cos'è ASP.NET MVC?
ASP.NET MVC (Model View Controller) è un set di strumenti basato su modelli per la creazione di siti Web dinamici che consente una netta separazione delle problematiche e che offre ai clienti il controllo completo sul markup per lo sviluppo agile e piacevole. ASP.NET MVC include molte funzionalità che consentono uno sviluppo rapido e semplice per TDD per la creazione di applicazioni sofisticate che usano gli standard Web più recenti. Per altre informazioni, vedere Informazioni su ASP.NET MVC.
Chi verrà offerto l'aggiornamento tramite aggiornamento automatico?
L'aggiornamento verrà offerto ai sistemi con aggiornamento automatico abilitato se vengono soddisfatti uno dei due criteri seguenti:
- MVC 2.0, MVC 3.0 o MVC 4.0 è installato oppure
- Il sistema esegue Microsoft .NET Framework 4.5.1 e un'applicazione con il componente interessato (System.Web.Mvc.dll per ASP.NET MVC 2.0, 3.0, 4.0, 5.0 e 5.1) è stato caricato in precedenza
I clienti con aggiornamento automatico disabilitato i cui sistemi soddisfano uno dei criteri possono anche ottenere l'aggiornamento controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . I clienti i cui sistemi non soddisfano i criteri (o i clienti che non sono sicuri se questo è il caso), devono scaricare e installare manualmente l'aggiornamento usando i collegamenti dell'Area download Microsoft forniti nella tabella Software interessato di questo bollettino. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871. Per i clienti che non hanno abilitato l'aggiornamento automatico, è possibile usare i passaggi descritti in Attivare o disattivare l'aggiornamento automatico per abilitare l'aggiornamento automatico.
I clienti che eseguono MVC 3.0, MVC 4.0, MVC 5.0 o MVC 5.1 hanno anche la possibilità di distribuire manualmente il pacchetto NuGet aggiornato, come descritto nella sezione Distribuzione aggiornamenti della sicurezza di questo bollettino. Si noti che i clienti senza controllo del server che devono applicare patch all'applicazione dovranno ridistribuire l'applicazione dopo aver scaricato e installato il pacchetto NuGet aggiornato. Per altre informazioni sul supporto per la manutenzione di .NET NuGet, vedere .NET 4.5.1 Supports Microsoft Security Aggiornamenti for .NET NuGet Libraries (Supporto di Microsoft Security Aggiornamenti per le librerie NuGet .NET).
Ricerca per categorie determinare quale versione di ASP.NET MVC è installata nel sistema?
Per MVC 4.0, MVC 5.0 o MVC 5.1 è necessario aver distribuito il file binario interessato (System.Web.MVC.dll) con l'applicazione. Controllare la cartella bin dell'applicazione per la versione del file binario. Per MVC 2.0, MVC 3.0 o MVC 4.0, vedere l'elemento del pannello di controllo Installazione applicazioni per la versione di MVC installata.
| Aggiungere/rimuovere i nomi dei programmi |
|---|
| Microsoft ASP.NET MVC 2 |
| Microsoft ASP.NET MVC 3 |
| Microsoft ASP.NET MVC 4 Runtime |
È necessario abilitare Microsoft Update nel computer o nel server per ottenere questo aggiornamento?
No. Se non si vuole abilitare Microsoft Update nel sistema, è possibile scaricare l'aggiornamento direttamente dall'Area download Microsoft (vedere l'articolo della Knowledge Base: 2990942)) oppure aggiornare i pacchetti NuGet alla versione sicura (vedere la sezione Distribuzione aggiornamenti della sicurezza di questo bollettino) e quindi ridistribuire l'applicazione al server.
Cosa fa l'aggiornamento al sistema e come influisce l'applicazione MVC?
L'aggiornamento MSI installa l'assembly fisso (System.Web.Mvc.dll) nella GAC. In questo modo, le versioni vulnerabili dell'assembly (System.Web.Mvc.dll) distribuite con le applicazioni in esecuzione nel server vengono sovrascritte dalla versione nella GAC, che sarà la versione sicura.
Per MVC 3.0 e MVC 4.0, è possibile installare il prodotto completo nel server in cui è installata la versione vulnerabile di System.Web.Mvc.dll nella GAC. Per tenere conto di questo problema, la versione dell'assembly è stata incrementata nella versione fissa e viene installato anche un assembly dei criteri dell'editore associato per reindirizzare le versioni precedenti dell'assembly distribuite con le applicazioni.
È necessario preoccuparsi di questo aggiornamento che influisce negativamente sulle funzionalità del sito Web?
No. Questo aggiornamento non influisce negativamente sulle funzionalità del sito Web. Tuttavia, in rari casi in cui uno sviluppatore ha usato la funzione Affect e codificato manualmente l'output in HTML, l'utente può visualizzare caratteri con doppia codifica. Ad esempio, "<" potrebbe essere visualizzato come "<". Questa operazione può essere corretta dallo sviluppatore rimuovendo il passaggio di codifica manuale. Questo problema non influisce sulla funzionalità del sito Web; è solo un artefatto visivo.
MVC 3.0 RTM è installato nel sistema e dopo l'installazione dell'aggiornamento non è più possibile creare un nuovo progetto in Visual Studio 2010, come è possibile correggere questo problema?
ASP.NET modelli MVC 3.0 per Visual Studio 2010 si basano sugli assembly installati nella cartella Assembly di riferimento. Poiché la versione aggiornata dell'assembly per MVC 3.0 viene incrementata, i modelli non funzioneranno più. Per risolvere questo problema, installare l'aggiornamento degli strumenti MVC 3.0.1 per Visual Studio 2010.
L'aggiornamento è stato installato e ora si prevede di ridistribuire le applicazioni con una versione più recente di ASP.NET MVC; ci sono problemi con questo piano d'azione?
Nessun problema. Quando si distribuisce un'applicazione con una versione superiore di System.Web.Mvc.dll rispetto a quella presente nella GAC, la versione dell'assembly distribuito con l'applicazione avrà quindi la precedenza.
Uso una versione precedente del software discussa in questo bollettino sulla sicurezza. Cosa devo fare?
Il software interessato elencato in questo bollettino è stato testato per determinare quali versioni sono interessate. Altre versioni hanno superato il ciclo di vita del supporto. Per altre informazioni sul ciclo di vita del supporto ASP.NET, vedere ASP.NET Criteri relativi al ciclo di vita del supporto.
Deve essere una priorità per i clienti che dispongono di versioni precedenti del software per eseguire la migrazione alle versioni supportate per evitare potenziali esposizione alle vulnerabilità. Per determinare il ciclo di vita del supporto per la versione software, vedere Selezionare un prodotto per informazioni sul ciclo di vita. Per altre informazioni sui Service Pack per queste versioni software, vedere Service Pack Lifecycle Support Policy.
I clienti che richiedono supporto personalizzato per il software precedente devono contattare il rappresentante del team dell'account Microsoft, il responsabile dell'account tecnico o il rappresentante partner Microsoft appropriato per le opzioni di supporto personalizzate. I clienti senza contratto Alliance, Premier o Authorized possono contattare l'ufficio vendite Microsoft locale. Per informazioni di contatto, vedere il sito Web Microsoft Worldwide Information , quindi selezionare il paese per visualizzare un elenco di numeri di telefono. Quando chiami, chiedi di parlare con il responsabile vendite premier support locale. Per altre informazioni, vedere domande frequenti sui criteri relativi al ciclo di vita di supporto tecnico Microsoft.
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio del bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla valutazione della gravità e dell'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di ottobre. Per altre informazioni, vedere Microsoft Exploitability Index.
| Valutazione della gravità della vulnerabilità e Impatto massimo sulla sicurezza da parte del software interessato | ||
|---|---|---|
| Software interessato | Vulnerabilità XSS MVC - CVE-2014-4075 | Valutazione della gravità aggregata |
| Strumenti di sviluppo | ||
| ASP.NET MVC 2.0 (2993939) | Importante bypass delle funzionalità di sicurezza | Importante |
| ASP.NET MVC 3.0 (2993937) | Importante bypass delle funzionalità di sicurezza | Importante |
| ASP.NET MVC 4.0 (2993928) | Importante bypass delle funzionalità di sicurezza | Importante |
| ASP.NET MVC 5.0 (2992080) | Importante bypass delle funzionalità di sicurezza | Importante |
| ASP.NET MVC 5.1 (2994397) | Importante bypass delle funzionalità di sicurezza | Importante |
Vulnerabilità XSS MVC - CVE-2014-4075
Esiste una vulnerabilità di scripting tra siti (XSS) in ASP.NET MVC che potrebbe consentire a un utente malintenzionato di inserire uno script sul lato client nel Web browser dell'utente. Lo script potrebbe spoofare il contenuto, divulgare informazioni o intraprendere qualsiasi azione che l'utente potrebbe intraprendere sul sito per conto dell'utente di destinazione.
Per visualizzare questa vulnerabilità come voce standard nell'elenco Vulnerabilità ed esposizioni comuni, vedere CVE-2014-4075.
Fattori di mitigazione
La mitigazione si riferisce a un'impostazione, a una configurazione comune o a una procedura consigliata generale, esistente in uno stato predefinito, che potrebbe ridurre la gravità dello sfruttamento di una vulnerabilità. I fattori di mitigazione seguenti possono essere utili nella situazione:
- In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web appositamente progettato per sfruttare questa vulnerabilità tramite un Web browser e quindi convincere un utente a visualizzare il sito Web. L'utente malintenzionato potrebbe anche sfruttare i siti Web compromessi e i siti Web che accettano o ospitano contenuti o annunci forniti dall'utente. Questi siti Web possono contenere contenuti appositamente creati che potrebbero sfruttare questa vulnerabilità. In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di forzare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. Un utente malintenzionato dovrà invece convincere gli utenti a intervenire, in genere facendogli clic su un collegamento in un messaggio di posta elettronica o in un messaggio di Instant Messenger che li porta al sito Web dell'utente malintenzionato o ottenendoli per aprire un allegato inviato tramite posta elettronica.
- Il filtro XSS in Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 impedisce questo attacco agli utenti durante l'esplorazione dei siti Web nell'area Internet. Si noti che il filtro XSS in Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 è abilitato per impostazione predefinita nell'area Internet, ma non è abilitato per impostazione predefinita nell'area Intranet.
Soluzioni alternative
La soluzione alternativa si riferisce a un'impostazione o a una modifica della configurazione che non corregge la vulnerabilità sottostante, ma che consente di bloccare i vettori di attacco noti prima di applicare l'aggiornamento. Microsoft ha testato le soluzioni alternative e gli stati seguenti nella discussione se una soluzione alternativa riduce le funzionalità:
Impostare le impostazioni dell'area di sicurezza Internet e Intranet locale su "Alto" per bloccare i controlli ActiveX e lo scripting attivo in queste zone
È possibile proteggersi dallo sfruttamento di questa vulnerabilità modificando le impostazioni per l'area di sicurezza Internet per bloccare i controlli ActiveX e Scripting attivo. A tale scopo, impostare la sicurezza del browser su Alto.Per aumentare il livello di sicurezza di esplorazione in Internet Explorer, seguire questa procedura:
- Scegliere Opzioni Internet dal menu Strumenti di Internet Explorer.
- Nella finestra di dialogo Opzioni Internet fare clic sulla scheda Sicurezza e quindi su Internet.
- In Livello di sicurezza per questa zona spostare il dispositivo di scorrimento su Alto. In questo modo viene impostato il livello di sicurezza per tutti i siti Web visitati su Alto.
- Fare clic su Intranet locale.
- In Livello di sicurezza per questa zona spostare il dispositivo di scorrimento su Alto. In questo modo viene impostato il livello di sicurezza per tutti i siti Web visitati su Alto.
- Fare clic su OK per accettare le modifiche e tornare a Internet Explorer.
Nota Se non è visibile alcun dispositivo di scorrimento, fai clic su Livello predefinito e quindi sposta il dispositivo di scorrimento su Alto.
Nota L'impostazione del livello su Alto può causare il funzionamento errato di alcuni siti Web. Se si ha difficoltà a usare un sito Web dopo aver modificato questa impostazione e si è certi che il sito sia sicuro da usare, è possibile aggiungere tale sito all'elenco di siti attendibili. In questo modo il sito funzionerà correttamente anche con l'impostazione di sicurezza impostata su Alto.
Impatto della soluzione alternativa. Esistono effetti collaterali per bloccare i controlli ActiveX e lo scripting attivo. Molti siti Web che si trovano su Internet o in una intranet usano ActiveX o Scripting attivo per fornire funzionalità aggiuntive. Ad esempio, un sito di e-commerce online o un sito bancario può utilizzare i controlli ActiveX per fornire menu, moduli di ordinamento o persino estratti conto. Il blocco di controlli ActiveX o scripting attivo è un'impostazione globale che influisce su tutti i siti Internet e Intranet. Se non si desidera bloccare i controlli ActiveX o lo scripting attivo per tali siti, attenersi alla procedura descritta in "Aggiungere siti attendibili all'area Siti attendibili di Internet Explorer".
Aggiungere siti attendibili all'area Siti attendibili di Internet Explorer
Dopo aver impostato Internet Explorer per bloccare i controlli ActiveX e Scripting attivo nell'area Internet e nell'area Intranet locale, è possibile aggiungere siti attendibili all'area Siti attendibili di Internet Explorer. Ciò consentirà di continuare a usare siti Web attendibili esattamente come si fa oggi, contribuendo al contempo a proteggersi da questo attacco su siti non attendibili. È consigliabile aggiungere solo i siti considerati attendibili all'area Siti attendibili.
Per farlo, effettuare i seguenti passaggi:
- In Internet Explorer fare clic su Strumenti, fare clic su Opzioni Internet, quindi fare clic sulla scheda Sicurezza.
- Nella casella Selezionare un'area di contenuto Web per specificare le impostazioni di sicurezza correnti fare clic su Siti attendibili e quindi su Siti.
- Se si desidera aggiungere siti che non richiedono un canale crittografato, fare clic per deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area .
- Nella casella Aggiungi questo sito Web alla zona digitare l'URL di un sito attendibile e quindi fare clic su Aggiungi.
- Ripetere questi passaggi per ogni sito da aggiungere alla zona.
- Fare clic su OK due volte per accettare le modifiche e tornare a Internet Explorer.
Nota Aggiungere tutti i siti attendibili per non eseguire azioni dannose sul sistema. Due in particolare che è possibile aggiungere sono *.windowsupdate.microsoft.com e *.update.microsoft.com. Si tratta dei siti che ospiteranno l'aggiornamento e richiede un controllo ActiveX per installare l'aggiornamento.
Domande frequenti
Qual è l'ambito della vulnerabilità?
Si tratta di una vulnerabilità di scripting tra siti (XSS) che potrebbe causare l'elevazione dei privilegi.
Che cosa causa la vulnerabilità?
La vulnerabilità è causata quando ASP.NET MVC non riesce a codificare correttamente l'input.
Qual è il componente interessato dalla vulnerabilità?
System.Web.Mvc.dll è il componente interessato dalla vulnerabilità.
Che cos'è lo scripting tra siti (XSS)?
Lo scripting tra siti (XSS) è una classe di vulnerabilità di sicurezza che può consentire a un utente malintenzionato di inserire script nella risposta a una richiesta di pagina Web. Questo script viene quindi eseguito dall'applicazione richiedente, spesso un Web browser. Lo script potrebbe quindi spoofare il contenuto, divulgare informazioni o intraprendere qualsiasi azione che l'utente potrebbe intraprendere sul sito Web interessato, per conto dell'utente di destinazione.
Cosa può fare un utente malintenzionato che usa la vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe inserire uno script sul lato client nell'istanza dell'utente di Internet Explorer. Lo script potrebbe spoofare il contenuto, divulgare informazioni o intraprendere qualsiasi azione che l'utente potrebbe intraprendere sul sito per conto dell'utente di destinazione.
In che modo un utente malintenzionato potrebbe sfruttare la vulnerabilità?
In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe convincere l'utente a visitare una pagina Web contenente contenuti appositamente creati progettati per sfruttare la vulnerabilità.
Quali sistemi sono principalmente a rischio dalla vulnerabilità?
I server che eseguono versioni interessate di ASP.NET MVC sono principalmente a rischio per questa vulnerabilità.
Cosa fa l'aggiornamento?
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui ASP.NET MVC gestisce la codifica dell'input.
Quando è stato pubblicato questo bollettino sulla sicurezza, questa vulnerabilità è stata divulgata pubblicamente?
Sì. Questa vulnerabilità è stata divulgata pubblicamente. È stata assegnata la vulnerabilità comune e il numero di esposizione CVE-2014-4075.
Quando è stato emesso questo bollettino sulla sicurezza, Microsoft ha ricevuto eventuali segnalazioni che questa vulnerabilità è stata sfruttata?
No. Microsoft non ha ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti quando questo bollettino sulla sicurezza è stato originariamente rilasciato.
Strumenti e linee guida per il rilevamento e la distribuzione
Sono disponibili diverse risorse per aiutare gli amministratori a distribuire gli aggiornamenti della sicurezza.
- Microsoft Baseline Security Analyzer (MBSA) consente agli amministratori di analizzare i sistemi locali e remoti per individuare gli aggiornamenti della sicurezza mancanti e le configurazioni comuni della sicurezza.
- Windows Server Update Services (WSUS), Systems Management Server (SMS) e System Center Configuration Manager consentono agli amministratori di distribuire gli aggiornamenti della sicurezza.
- I componenti dell'analizzatore di compatibilità degli aggiornamenti inclusi in Application Compatibility Toolkit semplificano il test e la convalida degli aggiornamenti di Windows nelle applicazioni installate.
Per informazioni su questi e altri strumenti disponibili, vedere Strumenti di sicurezza per professionisti IT.
Distribuzione degli aggiornamenti della sicurezza
ASP.NET MVC 2.0
Tabella di riferimento
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
| Sintesi | L'aggiornamento per ASP.NET MVC 2.0 viene fornito tramite aggiornamento automatico ed è disponibile anche per l'installazione manuale tramite l'Area download Microsoft. |
|---|---|
| Informazioni sull'installazione | |
| Nome file del pacchetto DLC e collegamento di download | AspNetMVC2.msi |
| Nome file del pacchetto NuGet | Non applicabile |
| Procedura di aggiornamento nuGet | Non applicabile |
| Impatto | L'installazione di questo aggiornamento causerà il riavvio di IIS. |
| Requisito di riavvio | In alcuni casi, questo aggiornamento non richiede un riavvio. Se vengono usati i file necessari, questo aggiornamento richiederà un riavvio. Se si verifica questo comportamento, viene visualizzato un messaggio che indica di riavviare. |
| Informazioni sulla rimozione | Per rimuovere questo aggiornamento, è necessario usare l'elemento Installazione applicazioni in Pannello di controllo per disinstallare il prodotto completo ASP.NET MVC 2 (Microsoft ASP.NET MVC 2) e quindi installare la versione precedente del prodotto |
| Aggiornare le informazioni | Vedere l'articolo della Microsoft Knowledge Base 2993939 |
| Verifica dell'installazione | Usare l'elemento Installazione applicazioni in Pannello di controllo e cercare Microsoft ASP.NET MVC2. La versione installata è 2.0.60926.0. |
ASP.NET MVC 3.0
Tabella di riferimento
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
| Sintesi | L'aggiornamento per ASP.NET MVC 3.0 viene fornito tramite aggiornamento automatico ed è disponibile anche per l'installazione manuale tramite l'Area download Microsoft o NuGet. |
|---|---|
| Informazioni sull'installazione | |
| Nome file del pacchetto DLC e collegamento di download | AspNetMVC3.msi |
| Nome file del pacchetto NuGet | Microsoft.AspNet.Mvc.3.0.50813.1.nupkg |
| Procedura di aggiornamento nuGet | Aggiornare i pacchetti di progetto di Visual Studio usando NuGet, ricompilare l'applicazione e distribuire 1. Aprire la soluzione in Visual Studio. 2. In Esplora soluzioni fare clic con il pulsante destro del mouse sul nodo Riferimenti e quindi scegliere Gestisci pacchetti NuGet. 3. Selezionare la scheda Aggiornamenti. Nel riquadro centrale viene visualizzato un elenco di pacchetti con aggiornamenti. 4. Selezionare il pacchetto di aggiornamento per la versione di ASP.NET MVC e quindi fare clic su Aggiorna. 5. Compilare e distribuire l'applicazione Web. Per altre informazioni sulla gestione dei pacchetti NuGet tramite la finestra di dialogo NuGet, vedere Gestione dei pacchetti NuGet tramite la finestra di dialogo. |
| Impatto | L'installazione di questo aggiornamento causerà il riavvio di IIS. |
| Requisito di riavvio | In alcuni casi, questo aggiornamento non richiede un riavvio. Se vengono usati i file necessari, questo aggiornamento richiederà un riavvio. Se si verifica questo comportamento, viene visualizzato un messaggio che indica di riavviare. |
| Informazioni sulla rimozione | Per rimuovere questo aggiornamento, è necessario usare l'elemento Installazione applicazioni in Pannello di controllo per disinstallare il prodotto completo ASP.NET MVC 3 (Microsoft ASP.NET MVC 3) e quindi installare la versione precedente del prodotto |
| Aggiornare le informazioni | Vedere l'articolo della Microsoft Knowledge Base 2993937 |
| Verifica dell'installazione | Usare l'elemento Installazione applicazioni in Pannello di controllo e cercare Microsoft ASP.NET MVC 3. La versione installata è 3.0.50813.0. Per l'aggiornamento di NuGet, la versione del file binario distribuito è 3.0.50813.0. |
ASP.NET MVC 4.0
Tabella di riferimento
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
| Sintesi | L'aggiornamento per ASP.NET MVC 4.0 viene fornito tramite l'aggiornamento automatico ed è disponibile anche per l'installazione manuale tramite l'Area download Microsoft o NuGet. |
|---|---|
| Informazioni sull'installazione | |
| Nome file del pacchetto DLC e collegamento di download | AspNetMVC4.msi |
| Nome file del pacchetto NuGet | Microsoft.AspNet.Mvc.4.0.40804.0.nupkg |
| Procedura di aggiornamento nuGet | Aggiornare i pacchetti di progetto di Visual Studio usando NuGet, ricompilare l'applicazione e distribuire 1. Aprire la soluzione in Visual Studio. 2. In Esplora soluzioni fare clic con il pulsante destro del mouse sul nodo Riferimenti e quindi scegliere Gestisci pacchetti NuGet. 3. Selezionare la scheda Aggiornamenti. Nel riquadro centrale viene visualizzato un elenco di pacchetti con aggiornamenti. 4. Selezionare il pacchetto di aggiornamento per la versione di ASP.NET MVC e quindi fare clic su Aggiorna. 5. Compilare e distribuire l'applicazione Web. Per altre informazioni sulla gestione dei pacchetti NuGet tramite la finestra di dialogo NuGet, vedere Gestione dei pacchetti NuGet tramite la finestra di dialogo. |
| Impatto | L'installazione di questo aggiornamento causerà il riavvio di IIS. |
| Requisito di riavvio | In alcuni casi, questo aggiornamento non richiede un riavvio. Se vengono usati i file necessari, questo aggiornamento richiederà un riavvio. Se si verifica questo comportamento, viene visualizzato un messaggio che indica di riavviare. |
| Informazioni sulla rimozione | Per rimuovere questo aggiornamento, è necessario usare l'elemento Installazione applicazioni in Pannello di controllo per disinstallare il prodotto completo ASP.NET MVC 4 (Microsoft ASP.NET MVC 4 Runtime) e quindi installare la versione precedente del prodotto |
| Aggiornare le informazioni | Vedere l'articolo della Microsoft Knowledge Base 2993928 |
| Verifica dell'installazione | Usare l'elemento Installazione applicazioni in Pannello di controllo e cercare Microsoft ASP.NET MVC 4 Runtime. La versione installata è 4.0.40804.0. Per l'aggiornamento nuGet, la versione del file del file binario distribuito è 4.0.40804.0. |
ASP.NET MVC 5.0
Tabella di riferimento
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
| Sintesi | L'aggiornamento per ASP.NET MVC 5.0 è disponibile per l'installazione manuale tramite l'Area download Microsoft o NuGet. Questo aggiornamento è una patch per il prodotto ASP.NET MVC 5.0. |
|---|---|
| Informazioni sull'installazione | |
| Nome file del pacchetto DLC e collegamento di download | AspNetWebFxUpdate_KB2992080.msi |
| Nome file del pacchetto NuGet | Microsoft.AspNet.Mvc.5.0.2.nupkg |
| Procedura di aggiornamento nuGet | Aggiornare i pacchetti di progetto di Visual Studio usando NuGet, ricompilare l'applicazione e distribuire 1. Aprire la soluzione in Visual Studio. 2. In Esplora soluzioni fare clic con il pulsante destro del mouse sul nodo Riferimenti e quindi scegliere Gestisci pacchetti NuGet. 3. Selezionare la scheda Aggiornamenti. Nel riquadro centrale viene visualizzato un elenco di pacchetti con aggiornamenti. 4. Selezionare il pacchetto di aggiornamento per la versione di ASP.NET MVC e quindi fare clic su Aggiorna. 5. Compilare e distribuire l'applicazione Web. Per altre informazioni sulla gestione dei pacchetti NuGet tramite la finestra di dialogo NuGet, vedere Gestione dei pacchetti NuGet tramite la finestra di dialogo. |
| Impatto | L'installazione di questo aggiornamento causerà il riavvio di IIS. |
| Requisito di riavvio | In alcuni casi, questo aggiornamento non richiede un riavvio. Se vengono usati i file necessari, questo aggiornamento richiederà un riavvio. Se si verifica questo comportamento, viene visualizzato un messaggio che indica di riavviare. |
| Informazioni sulla rimozione | Usare l'elemento Installazione applicazioni in Pannello di controllo e fare clic con il pulsante destro del mouse per rimuovere l'aggiornamento. Il nome dell'aggiornamento visualizzato sarà Microsoft ASP.NET Web Frameworks 5.0 Security Update (KB2992080). |
| Aggiornare le informazioni | Vedere l'articolo della Microsoft Knowledge Base 2992080 |
| Verifica dell'installazione | Usare l'elemento Installazione applicazioni in Pannello di controllo e cercare Microsoft ASP.NET Web Frameworks 5.0 Security Update (KB2992080). Per l'aggiornamento nuGet, la versione del file del file binario distribuito è 5.0.20821.0. |
ASP.NET MVC 5.1
Tabella di riferimento
La tabella seguente contiene le informazioni sull'aggiornamento della sicurezza per questo software.
| Sintesi | L'aggiornamento per ASP.NET MVC 5.1 è disponibile per l'installazione manuale tramite l'Area download Microsoft o NuGet. Questo aggiornamento è una patch per il prodotto ASP.NET MVC 5.1. |
|---|---|
| Informazioni sull'installazione | |
| Nome file del pacchetto DLC e collegamento di download | AspNetWebFxUpdate_KB2994397.msi |
| Nome file del pacchetto NuGet | Microsoft.AspNet.Mvc.5.1.3.nupkg |
| Procedura di aggiornamento nuGet | Aggiornare i pacchetti di progetto di Visual Studio usando NuGet, ricompilare l'applicazione e distribuire 1. Aprire la soluzione in Visual Studio. 2. In Esplora soluzioni fare clic con il pulsante destro del mouse sul nodo Riferimenti e quindi scegliere Gestisci pacchetti NuGet. 3. Selezionare la scheda Aggiornamenti. Nel riquadro centrale viene visualizzato un elenco di pacchetti con aggiornamenti. 4. Selezionare il pacchetto di aggiornamento per la versione di ASP.NET MVC e quindi fare clic su Aggiorna. 5. Compilare e distribuire l'applicazione Web. Per altre informazioni sulla gestione dei pacchetti NuGet tramite la finestra di dialogo NuGet, vedere Gestione dei pacchetti NuGet tramite la finestra di dialogo. |
| Impatto | L'installazione di questo aggiornamento causerà il riavvio di IIS. |
| Requisito di riavvio | In alcuni casi, questo aggiornamento non richiede un riavvio. Se vengono usati i file necessari, questo aggiornamento richiederà un riavvio. Se si verifica questo comportamento, viene visualizzato un messaggio che indica di riavviare. |
| Informazioni sulla rimozione | Usare l'elemento Installazione applicazioni in Pannello di controllo e fare clic con il pulsante destro del mouse per rimuovere l'aggiornamento. Il nome dell'aggiornamento visualizzato sarà Microsoft ASP.NET Web Frameworks 5.1 Security Update (KB2994397). |
| Aggiornare le informazioni | Vedere l'articolo della Microsoft Knowledge Base 2994397 |
| Verifica dell'installazione | Usare l'elemento Installazione applicazioni in Pannello di controllo e cercare Microsoft ASP.NET Web Frameworks 5.1 Security Update (KB2994397). Per l'aggiornamento di NuGet, la versione del file del file binario distribuito è 5.1.20821.0. |
Altre informazioni
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Supporto tecnico
Come ottenere assistenza e supporto per questo aggiornamento della sicurezza
- Guida all'installazione degli aggiornamenti: supporto per Microsoft Update
- Soluzioni di sicurezza per professionisti IT: Risoluzione dei problemi e supporto per la sicurezza techNet
- Proteggere il computer che esegue Windows da virus e malware: Soluzione virus e Centro sicurezza
- Supporto locale in base al proprio paese: Supporto internazionale
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (14 ottobre 2014): Bollettino pubblicato.
Pagina generata 2014-10-15 12:02Z-07:00.