マイクロソフト セキュリティ情報 MS14-059 – 重要

ASP.NET MVC の脆弱性により、セキュリティ機能のバイパスが起こる (2990942)

公開日:2014 年 10 月 15 日

バージョン: 1.0

概説

概要

このセキュリティ更新プログラムは ASP.NET MVC に存在する一般に公開された脆弱性を解決します。この脆弱性により、攻撃者が、特別に細工されたリンクをクリックするようにユーザーを誘導した場合、または、この脆弱性の悪用を目的として特別に細工されたコンテンツを含む Web ページを訪問するようにユーザーを誘導した場合に、セキュリティ機能のバイパスが発生する可能性があります。Web ベースの攻撃のシナリオでは、攻撃者は Web ブラウザーを介してこの脆弱性を悪用するように特別に細工した Web サイトをホストし、その Web サイトを表示するようにユーザーを誘導する可能性があります。また、攻撃者は侵害された Web サイトおよびユーザーが提供したコンテンツや広告を受け入れる、またはホストする Web サイトを利用する可能性があります。これらの Web サイトには、この脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれている場合があります。しかし、すべての場合において、強制的にユーザーに攻撃者が制御するコンテンツを表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトへユーザーを誘導します。または、電子メールで送信した添付ファイルを開かせようとします。

このセキュリティ更新プログラムは、ASP.NET MVC 2、ASP.NET MVC 3、ASP.NET MVC 4、ASP.NET MVC 5、および APS.NET MVC 5.1 について深刻度「重要」と評価されています。詳細については、本セキュリティ情報の「影響を受けるソフトウェア」のセクションを参照してください。

このセキュリティ更新プログラムは、ASP.NET MVC が入力のエンコーディングを処理する方法を修正することにより、この脆弱性を解決します。この脆弱性の詳細については、このセキュリティ情報の後半にある「脆弱性の情報」のセクションの特定の脆弱性に関するサブセクション「よく寄せられる質問 (FAQ)」を参照してください。

推奨する対応策: このセキュリティ更新プログラムをできる限り早期にインストールすることをお勧めします。お客様が自動更新を有効にしている場合は、このセキュリティ更新プログラムが自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。この更新プログラムは、次の 2 つの条件のどちらかを満たしている場合に、自動更新が有効になっているシステムに提供されます。

  • MVC 2.0、MVC 3.0、または MVC 4.0 がインストールされている。
  • システムが Microsoft .NET Framework 4.5.1 を実行しており、影響を受けるコンポーネント (ASP.NET MVC 2.0、3.0、4.0、5.0、および 5.1 の System.Web.Mvc.dll) を持つアプリケーションが過去にロードされている。

自動更新を無効にしているお客様も、システムがどちらかの条件を満たしている場合は、Microsoft Update サービスを使用して更新プログラムを確認することで、更新プログラムを入手できます。どちらの条件も満たしていないシステムを使用しているお客様 (またはこれに該当するかどうかわからないお客様) は、本セキュリティ情報の「影響を受けるソフトウェア」の表に記載された Microsoft ダウンロード センター リンクを使用して更新プログラムを手動でダウンロードしてインストールする必要があります。自動更新の具体的な構成オプションについては、サポート技術情報 294871 を参照してください。自動更新を有効にしていない場合は、「自動更新を有効または無効にするには」の手順を使用すると、自動更新を有効にすることができます。

MVC 3.0、MVC 4.0、MVC 5.0、または MVC 5.1 を実行しているお客様は、本セキュリティ情報の「セキュリティ更新プログラムの展開」セクションに記載されている手順に従って、更新された NuGet パッケージを手動で展開するオプションを利用できます。サーバーを自社で管理していないお客様が、アプリケーションを修正する必要がある場合、更新された NuGet パッケージをダウンロードしてインストールした後で、アプリケーションを再展開する必要があります。.NET NuGet サービス サポートの詳細については、「.NET 4.5.1 Supports Microsoft Security Updates for .NET NuGet Libraries」(英語情報) を参照してください。

サポート技術情報

  • サポート技術情報:2990942
  • ファイルに関する情報:あり
  • SHA1/SHA2 ハッシュ:あり
  • 既知の問題:なし

 

次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、「ASP.NET Support Lifecycle Policies」(英語情報) を参照してください。

影響を受けるソフトウェア 

開発者用ツール

最も深刻な脆弱性の影響

総合的な深刻度

置き換えられる更新プログラム

ASP.NET MVC 2.0
(2993939)

セキュリティ機能のバイパス

重要

なし

ASP.NET MVC 3.0
(2993937)

セキュリティ機能のバイパス

重要

なし

ASP.NET MVC 4.0
(2993928)

セキュリティ機能のバイパス

重要

なし

ASP.NET MVC 5.0
(2992080)

セキュリティ機能のバイパス

重要

なし

ASP.NET MVC 5.1
(2994397)

セキュリティ機能のバイパス

重要

なし

 

ASP.NET MVC とは何ですか? 
ASP.NET MVC (Model View Controller) は、関心の分離を確かに実現する動的な Web サイトを構築するためのパターンベースのツールセットであり、マークアップを完全に管理し、簡単かつ機敏な開発を実現します。ASP.NET MVC が備える豊富な機能を利用すれば、最新の Web 標準を使用する高性能のアプリケーションを、TDD (テスト駆動型開発) を利用して短時間で作成できます。詳細については、「Learn About ASP.NET MVC」(英語情報) を参照してください。

自動更新によって更新プログラムが提供されるのはどのようなユーザーですか? 
この更新プログラムは、次の 2 つの条件のどちらかを満たしている場合に、自動更新が有効になっているシステムに提供されます。

  • MVC 2.0、MVC 3.0、または MVC 4.0 がインストールされている。
  • システムが Microsoft .NET Framework 4.5.1 を実行しており、影響を受けるコンポーネント (ASP.NET MVC 2.0、3.0、4.0、5.0、および 5.1 の System.Web.Mvc.dll) を持つアプリケーションが過去にロードされている。

自動更新を無効にしているお客様も、システムがどちらかの条件を満たしている場合は、Microsoft Update サービスを使用して更新プログラムを確認することで、更新プログラムを入手できます。どちらの条件も満たしていないシステムを使用しているお客様 (またはこれに該当するかどうかわからないお客様) は、本セキュリティ情報の「影響を受けるソフトウェア」の表に記載された Microsoft ダウンロード センター リンクを使用して更新プログラムを手動でダウンロードしてインストールする必要があります。自動更新の具体的な構成オプションについては、サポート技術情報 294871 を参照してください。自動更新を有効にしていない場合は、「自動更新を有効または無効にするには」の手順を使用すると、自動更新を有効にすることができます。

MVC 3.0、MVC 4.0、MVC 5.0、または MVC 5.1 を実行しているお客様は、本セキュリティ情報の「セキュリティ更新プログラムの展開」セクションに記載されている手順に従って、更新された NuGet パッケージを手動で展開するオプションを利用できます。サーバーを自社で管理していないお客様が、アプリケーションを修正する必要がある場合、更新された NuGet パッケージをダウンロードしてインストールした後で、アプリケーションを再展開する必要があります。.NET NuGet サービス サポートの詳細については、「.NET 4.5.1 Supports Microsoft Security Updates for .NET NuGet Libraries」(英語情報) を参照してください。

コンピューターにインストールされている ASP.NET MVC のバージョンはどのように確認できますか? 
MVC 4.0、MVC 5.0、または MVC 5.1 の場合、影響を受けるバイナリ (System.Web.MVC.dll) をアプリケーションと共に展開しておく必要があります。アプリケーションの bin フォルダーでバイナリのバージョンを確認します。MVC 2.0、MVC 3.0、または MVC 4.0 の場合は、コントロール パネルの [プログラムの追加と削除] で、インストールされている MVC のバージョンを確認します。

プログラム名の追加と削除

Microsoft ASP.NET MVC 2

Microsoft ASP.NET MVC 3

Microsoft ASP.NET MVC 4 Runtime


この更新プログラムを取得するためにコンピューター/サーバーで Microsoft Update を有効にする必要がありますか? 
いいえ。システムで Microsoft Update を有効にしたくない場合は、Microsoft ダウンロード センターから更新プログラムを直接ダウンロードするか (サポート技術情報 2990942 を参照してください)、または NuGet パッケージをセキュリティで保護されたバージョンに更新してから (本セキュリティ情報の「セキュリティ更新プログラムの展開」を参照してください)、アプリケーションをサーバーに再展開します。

この更新プログラムはシステムに対してどんな処理を実行しますか? また MVC アプリケーションはどのような影響を受けますか? 
MSI 更新プログラムは、修正されたアセンブリ (System.Web.Mvc.dll) を GAC にインストールします。これにより、サーバー上で実行されているアプリケーションと共に展開される脆弱なバージョンのアセンブリ (System.Web.Mvc.dll) が GAC 内のセキュリティ保護されたバージョンによって上書きされます。

MVC 3.0 および MVC 4.0 の場合、脆弱なバージョンの System.Web.Mvc.dll が GAC にインストールされているサーバー上でも、製品版をインストールすることができてしまいます。この問題に対応するために、修正されたバージョンでアセンブリ バージョンがインクリメントされ、付属する発行元のポリシー アセンブリもインストールされます。これにより、アプリケーションと共に展開された旧バージョンがリダイレクトされます。 

この更新プログラムが Web サイトの機能に悪影響を与えることを心配する必要がありますか? 
いいえ。この更新プログラムが Web サイトの機能に悪影響を与えることはありません。しかし、影響を受ける機能を開発者が使用し、HTML で出力を手動でエンコードしたような特殊な状況では、二重にエンコードされた文字がユーザーに表示されることがあります。たとえば、“<” が “&lt;” として表示されることがあります。これは、開発者が手動のエンコード ステップを削除することで解決できます。この問題は、視覚的なアーティファクトのみの問題であり、Web サイトの機能には影響を与えません。

MVC 3.0 RTM がシステムにインストールされている状態で、更新プログラムをシステムにインストールしたところ、Visual Studio 2010 で新しいプロジェクトを作成できなくなりました。この問題を解決する方法を教えてください。 
Visual Studio 2010 用の ASP.NET MVC 3.0 テンプレートは、参照アセンブリ フォルダーにインストールされているアセンブリに依存します。MVC 3.0 用アセンブリの更新されたバージョンがインクリメントされるので、テンプレートが機能しなくなります。この問題を解決するには、Visual Studio 2010 用の MVC 3.0.1 ツール更新をインストールします。

更新プログラムをインストールし、これから、より新しいバージョンの ASP.NET MVC と共にアプリケーションを再展開する計画です。この計画に何か問題がありますか? 
問題はありません。GAC 内のバージョンよりも新しいバージョンの System.Web.Mvc.dll を展開すると、アプリケーションと共に展開されるアセンブリのバージョンが優先されます。

このセキュリティ情報で説明しているソフトウェアの旧バージョンを使用しています。どうすればよいですか? 
このセキュリティ情報の一覧の影響を受けるソフトウェアのテストを行い、影響を受けるリリースを確認しました。その他のリリースは、サポート ライフサイクルが終了しました。ASP.NET のサポート ライフサイクルの詳細については、「ASP.NET Support Lifecycle Policies」(英語情報) を参照してください。

今後、脆弱性の影響を受けないようにするため、旧リリースのソフトウェアを使用しているお客様は、サポート対象のリリースに移行することを強く推奨します。使用するソフトウェアのサポート ライフサイクルを確認するには、サービスパック ライフサイクル ポリシーを参照してください。これらのソフトウェアのリリースのサービス パックの詳細については、サービスパック ライフサイクル ポリシーを参照してください。

サポートが終了したソフトウェアに関するカスタム サポートが必要なお客様は、カスタム サポート オプションについて、マイクロソフト アカウント チームの担当者、担当テクニカル アカウント マネージャー、またはマイクロソフト パートナー担当者までご連絡ください。アライアンス契約、プレミア契約、または正規の契約をお持ちでないお客様は、お住まいの地域のマイクロソフト営業オフィスまでご連絡ください。連絡先については、Microsoft Worldwide Information Web サイトにアクセスし、連絡先情報リストから国/地域を選択すると、連絡先の電話番号が表示されます。お電話でお問い合わせの際は、お住まいの地域のプレミア サポート営業担当までご連絡ください。詳細については、マイクロソフト サポート ライフサイクル ポリシー FAQ を参照してください。

次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日間でこの脆弱性が悪用される可能性に関する情報については、10 月のセキュリティ情報の概要の Exploitability Index を参照してください。詳細については、Microsoft Exploitability Index (悪用可能性指標) を参照してください。

影響を受けるソフトウェアごとの脆弱性の深刻度および最大のセキュリティ上の影響

影響を受けるソフトウェア

MVC XSS の脆弱性 - CVE-2014-4075

総合的な深刻度

開発者用ツール

ASP.NET MVC 2.0
(2993939)

重要 
セキュリティ機能のバイパス

重要

ASP.NET MVC 3.0
(2993937)

重要 
セキュリティ機能のバイパス

重要

ASP.NET MVC 4.0
(2993928)

重要 
セキュリティ機能のバイパス

重要

ASP.NET MVC 5.0
(2992080)

重要 
セキュリティ機能のバイパス

重要

ASP.NET MVC 5.1
(2994397)

重要 
セキュリティ機能のバイパス

重要

 

ASP.NET MVC にクロスサイト スクリプティング (XSS) の脆弱性が存在し、攻撃者がユーザーの Web ブラウザーにクライアント側スクリプトを挿入する可能性があります。スクリプトはサイトでコンテンツのなりすまし、情報の漏えい、または標的となるユーザーに代わって任意の操作を行う可能性があります。

Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性を確認するには、CVE-2014-4075 を参照してください。

問題を緩和する要素

緩和する要素は、既定の状態における設定、一般的な構成または最善策を示し、脆弱性悪用の深刻度が下がる場合があります。お客様の状況で、次の「緩和する要素」が役立つ場合があります。

  • Web ベースの攻撃のシナリオでは、攻撃者は Web ブラウザーを介してこの脆弱性を悪用するように特別に細工した Web サイトをホストし、その Web サイトを表示するようにユーザーを誘導する可能性があります。また、攻撃者は侵害された Web サイトおよびユーザーが提供したコンテンツや広告を受け入れる、またはホストする Web サイトを利用する可能性があります。これらの Web サイトには、これらの脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれている場合があります。しかし、すべての場合において、強制的にユーザーに攻撃者が制御するコンテンツを表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトへユーザーを誘導します。または、電子メールで送信した添付ファイルを開かせようとします。
  • Internet Explorer 8、Internet Explorer 9、Internet Explorer 10、および Internet Explorer 11 の XSS フィルターは、ユーザーがインターネット ゾーンの Web サイトを閲覧するときにこの攻撃を防ぎます。Internet Explorer 8、Internet Explorer 9、Internet Explorer 10、および Internet Explorer 11 の XSS フィルターは、インターネット ゾーンでは既定で有効になっていますが、イントラネット ゾーンでは既定で有効ではないことに注意してください。

回避策

回避策は、根本的な脆弱性を正すものではありませんが、更新プログラムを適用するまでの間、既知の攻撃方法の阻止に役立つ設定または構成の変更を示します。マイクロソフトは次の回避策をテストし、回避策が機能性を低下させるかどうかの情報を提供しています。

  • インターネットおよびローカル イントラネット セキュリティ ゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトをブロックする

    インターネット セキュリティ ゾーンの設定を変更し、ActiveX コントロールおよびアクティブ スクリプトをブロックすることは、この脆弱性の悪用を防ぐのに役立ちます。これには、ブラウザーのセキュリティ設定を「高」に設定して実行します。

    Internet Explorer のブラウザーのセキュリティ レベルを上げるには、以下のステップを実行してください。

    1. Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
    2. [インターネット オプション] ダイアログ ボックスで、[セキュリティ] タブをクリックし、次に [インターネット] をクリックします。
    3. [このゾーンのセキュリティのレベル] の下のスライダーのつまみを「」まで移動させます。これにより、訪問するすべての Web サイトのセキュリティ レベルが「高」に設定されます。
    4. [ローカル イントラネット] をクリックします。
    5. [このゾーンのセキュリティのレベル] の下のスライダーのつまみを「」まで移動させます。これにより、訪問するすべての Web サイトのセキュリティ レベルが「高」に設定されます。
    6. [OK] をクリックし、変更を許可し、Internet Explorer に戻ります。

     

    : スライダーが表示されていない場合、[既定のレベル] ボタンをクリックし、次にスライダーを「」に移動させます。

    : セキュリティ レベルを「高」に設定すると、Web ページが正しく動作しない場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全だと確信できる場合は、そのサイトを [信頼済みサイト] に追加できます。これにより、セキュリティが「高」に設定されていても、そのサイトが適切に実行されます。

    回避策の影響:ActiveX コントロールおよびアクティブ スクリプトをブロックすると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトは ActiveX またはアクティブ スクリプトを使用して、追加の機能を提供します。たとえば、オンラインの電子商取引またはオンライン バンキング サイトには ActiveX コントロールを使用して、メニュー、注文書、計算書などを提供しているものもあります。ActiveX コントロールまたはアクティブ スクリプトのブロックはグローバル設定であり、すべてのインターネットおよびイントラネット サイトに影響を及ぼします。ActiveX コントロールおよびアクティブ スクリプトをこれらの Web サイトでブロックしたくない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。

    信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する

    インターネット ゾーンおよびローカル イントラネット ゾーンで ActiveX コントロールおよびアクティブ スクリプトをブロックするように設定後、信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加できます。これにより、信頼されていない Web サイトからの攻撃を防ぎながら、現在とまったく同じ様に、信頼する Web サイトを引き続き使用できます。マイクロソフトは信頼できる Web サイトのみを [信頼済み] サイト ゾーンに追加することを推奨します。

    これを行うためには、次のステップを実行します。

    1. Internet Explorer で [ツール] をクリックし、[インターネット オプション] をクリックします。次に [セキュリティ] タブをクリックします。
    2. [Web コンテンツのゾーンを選択してセキュリティのレベルを設定する] で、[信頼済みサイト] をクリックし、次に [サイト] をクリックします。
    3. 暗号化されたチャネルを必要としない Web サイトを追加する場合は、[このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] チェック ボックスをクリックして、チェックを外します。
    4. [次の Web サイトをゾーンに追加する] で、信頼する Web サイトの URL を入力し、次に [追加] ボタンをクリックします。
    5. ゾーンに追加したい各 Web サイトについて、これらのステップを繰り返します。
    6. [OK] を 2 回クリックし、変更を許可し、Internet Explorer に戻ります。

     

    注: システムで悪質な動作が行われないと信頼できるすべてのサイトを追加します。特に追加すべき 2 つの Web サイトは *.windowsupdate.microsoft.com および *.update.microsoft.com です。これらはセキュリティ更新プログラムをホストする Web サイトで、セキュリティ更新プログラムのインストールには ActiveX コントロールが必要です。

よく寄せられる質問

この脆弱性により、どのようなことが起こる可能性がありますか? 
これはクロスサイト スクリプティング (XSS) の脆弱性で、特権の昇格を引き起こす可能性があります。

何が原因で起こりますか? 
この脆弱性は、ASP.NET MVC が入力を適切にエンコードしなかった場合に発生します。

この脆弱性による影響を受けるコンポーネントは何ですか? 
この脆弱性による影響を受けるコンポーネントは System.Web.Mvc.dll です。

クロスサイト スクリプティング (XSS) とは何ですか? 
クロスサイト スクリプティング (XSS) とは攻撃者により Web ページのリクエストへの応答にスクリプトが挿入されるセキュリティの脆弱性の種類です。このスクリプトは要求元のアプリケーション (多くの場合 Web ブラウザー) によって実行されます。スクリプトは影響を受ける Web サイトでコンテンツのなりすまし、情報の漏えい、または標的となるユーザーに代わって任意の操作を行う可能性があります。

攻撃者は、この脆弱性を悪用して何を行う可能性がありますか? 
攻撃者によってこの脆弱性が悪用された場合、ユーザーの Internet Explorer インスタンスにクライアント側スクリプトが挿入される可能性があります。スクリプトはサイトでコンテンツのなりすまし、情報の漏えい、または標的となるユーザーに代わって任意の操作を行う可能性があります。

攻撃者はこの脆弱性をどのように悪用する可能性がありますか? 
Web ベースの攻撃シナリオでは、攻撃者はこの脆弱性の悪用を目的として特別に細工されたコンテンツを含む Web ページにユーザーを訪問させる可能性があります。

主にどのようなコンピューターがこの脆弱性による危険にさらされますか? 
主に、影響を受けるバージョンの ASP.NET MVC を実行しているサーバーがこの脆弱性による危険にさらされます。

この更新プログラムは何を修正しますか? 
この更新プログラムは、ASP.NET MVC が入力のエンコーディングを処理する方法を修正することによりこの脆弱性を解決します。

このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか? 
はい。この脆弱性は一般で公開されていました。この脆弱性には Common Vulnerability and Exposure の番号 CVE-2014-4075 が割り当てられています。

このセキュリティ情報のリリース時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか? 
いいえ。マイクロソフトは、このセキュリティ情報が最初に公開された際に、この脆弱性が一般で悪用され、お客様が攻撃されていたことを示す情報を受けていませんでした。

管理者がセキュリティ更新プログラムを展開するときに役立つリソースがいくつかあります。 

  • Microsoft Baseline Security Analyzer (MBSA) を使用して、管理者はローカル システムとリモート システムの不足しているセキュリティ更新プログラムと一般的な誤ったセキュリティ構成をスキャンできます。 
  • Windows Server Update Services (WSUS)、Systems Management Server (SMS)、および System Center Configuration Manager は、管理者がセキュリティ更新プログラムを配布するときに役に立ちます。 
  • Application Compatibility Toolkit に含まれている Update Compatibility Evaluator コンポーネントは、インストールされているアプリケーションに対する Windows の更新プログラムのテストおよび確認を効率化する手助けをします。 

利用可能なこれらのツールおよび他のツールの詳細については、「セキュリティ ツール」を参照してください。 

ASP.NET MVC 2.0

参照表

次の表では、このソフトウェア用のセキュリティ更新プログラムの情報を記載しています。

概要

ASP.NET MVC 2.0 の更新プログラムは自動更新を介して提供され、また、Microsoft ダウンロード センターから手動でインストールすることもできます。

インストールに関する情報

DLC パッケージのファイル名とダウンロード リンク

AspNetMVC2.msi

NuGet パッケージのファイル名

対象外

NuGet の更新手順

対象外

影響

この更新プログラムをインストールすると IIS が再起動します。

再起動の必要性

この更新プログラムは、システムの再起動が必要ない場合もあります。必要なファイルが使用中の場合、この更新プログラムは再起動が必要です。この動作が起きた場合、再起動のメッセージが表示されます。

削除に関する情報

この更新プログラムを削除するには、[コントロール パネル] [プログラムの追加と削除] を使用して、ASP.NET MVC 2 製品 (Microsoft ASP.NET MVC 2) を完全に削除してから、前の製品バージョンをインストールする必要があります。

更新プログラムに関する情報

サポート技術情報 2993939 を参照してください。

インストールの確認

[コントロール パネル] [プログラムの追加と削除] を使用して、[Microsoft ASP.NET MVC2] を探します。インストールされているバージョンは 2.0.60926.0 です。

 

ASP.NET MVC 3.0

参照表

次の表では、このソフトウェア用のセキュリティ更新プログラムの情報を記載しています。

概要

ASP.NET MVC 3.0 の更新プログラムは、自動更新を介して提供され、また、Microsoft ダウンロード センターまたは NuGet から手動でインストールすることもできます。

インストールに関する情報

DLC パッケージのファイル名とダウンロード リンク

AspNetMVC3.msi

NuGet パッケージのファイル名

Microsoft.AspNet.Mvc.3.0.50813.1.nupkg

NuGet の更新手順

NuGet を使用して Visual Studio プロジェクト パッケージを更新し、アプリケーションを再コンパイルして、展開します。

  1. Visual Studio でソリューションを開きます。
  2. ソリューション エクスプローラーで、参照ノードを右クリックし、[NuGet パッケージの管理] をクリックします。
  3. [更新] タブを選択します。更新プログラムが含まれるパッケージの一覧が中央のウィンドウに表示されます。
  4. 使用しているバージョンの ASP.NET MVC 用の更新プログラム パッケージを選択し、[更新] をクリックします。
  5. Web アプリケーションをコンパイルして展開します。

NuGet ダイアログを使用した NuGet パッケージの管理の詳細については、「Managing NuGet Packages Using the Dialog」(英語情報) を参照してください。

影響

この更新プログラムをインストールすると IIS が再起動します。

再起動の必要性

この更新プログラムは、システムの再起動が必要ない場合もあります。必要なファイルが使用中の場合、この更新プログラムは再起動が必要です。この動作が起きた場合、再起動のメッセージが表示されます。

削除に関する情報

この更新プログラムを削除するには、[コントロール パネル] [プログラムの追加と削除] を使用して、ASP.NET MVC 3 製品 (Microsoft ASP.NET MVC 3) を完全に削除してから、前の製品バージョンをインストールする必要があります。

更新プログラムに関する情報

サポート技術情報 2993937 を参照してください。

インストールの確認

[コントロール パネル] [プログラムの追加と削除] を使用して、[Microsoft ASP.NET MVC3] を探します。インストールされているバージョンは 3.0.50813.0 です。NuGet 更新プログラムの場合は、展開されているバイナリのファイル バージョンは 3.0.50813.0 です。

 

ASP.NET MVC 4.0

参照表

次の表では、このソフトウェア用のセキュリティ更新プログラムの情報を記載しています。

概要

ASP.NET MVC 4.0 の更新プログラムは、自動更新を介して提供され、また、Microsoft ダウンロード センターまたは NuGet から手動でインストールすることもできます。

インストールに関する情報

DLC パッケージのファイル名とダウンロード リンク

AspNetMVC4.msi

NuGet パッケージのファイル名

Microsoft.AspNet.Mvc.4.0.40804.0.nupkg

NuGet の更新手順

NuGet を使用して Visual Studio プロジェクト パッケージを更新し、アプリケーションを再コンパイルして、展開します。

  1. Visual Studio でソリューションを開きます。
  2. ソリューション エクスプローラーで、参照ノードを右クリックし、[NuGet パッケージの管理] をクリックします。
  3. [更新] タブを選択します。更新プログラムが含まれるパッケージの一覧が中央のウィンドウに表示されます。
  4. 使用しているバージョンの ASP.NET MVC 用の更新プログラム パッケージを選択し、[更新] をクリックします。
  5. Web アプリケーションをコンパイルして展開します。

NuGet ダイアログを使用した NuGet パッケージの管理の詳細については、「Managing NuGet Packages Using the Dialog」(英語情報) を参照してください。

影響

この更新プログラムをインストールすると IIS が再起動します。

再起動の必要性

この更新プログラムは、システムの再起動が必要ない場合もあります。必要なファイルが使用中の場合、この更新プログラムは再起動が必要です。この動作が起きた場合、再起動のメッセージが表示されます。

削除に関する情報

この更新プログラムを削除するには、[コントロール パネル] [プログラムの追加と削除] を使用して、ASP.NET MVC 4 製品 (Microsoft ASP.NET MVC 4 Runtime) を完全に削除してから、前の製品バージョンをインストールする必要があります。

更新プログラムに関する情報

サポート技術情報 2993928 を参照してください。

インストールの確認

[コントロール パネル] [プログラムの追加と削除] を使用して、[Microsoft ASP.NET MVC 4 Runtime] を探します。インストールされているバージョンは 4.0.40804.0 です。NuGet 更新プログラムの場合は、展開されているバイナリのファイル バージョンは 4.0.40804.0 です。

 

ASP.NET MVC 5.0

参照表

次の表では、このソフトウェア用のセキュリティ更新プログラムの情報を記載しています。

概要

ASP.NET MVC 5.0 の更新プログラムは、Microsoft ダウンロード センターまたは NuGet から手動でインストールすることができます。この更新プログラムは、ASP.NET MVC 5.0 製品のパッチです。

インストールに関する情報

DLC パッケージのファイル名とダウンロード リンク

AspNetWebFxUpdate_KB2992080.msi

NuGet パッケージのファイル名

Microsoft.AspNet.Mvc.5.0.2.nupkg

NuGet の更新手順

NuGet を使用して Visual Studio プロジェクト パッケージを更新し、アプリケーションを再コンパイルして、展開します。

  1. Visual Studio でソリューションを開きます。
  2. ソリューション エクスプローラーで、参照ノードを右クリックし、[NuGet パッケージの管理] をクリックします。
  3. [更新] タブを選択します。更新プログラムが含まれるパッケージの一覧が中央のウィンドウに表示されます。
  4. 使用しているバージョンの ASP.NET MVC 用の更新プログラム パッケージを選択し、[更新] をクリックします。
  5. Web アプリケーションをコンパイルして展開します。

NuGet ダイアログを使用した NuGet パッケージの管理の詳細については、「Managing NuGet Packages Using the Dialog」(英語情報) を参照してください。

影響

この更新プログラムをインストールすると IIS が再起動します。

再起動の必要性

この更新プログラムは、システムの再起動が必要ない場合もあります。必要なファイルが使用中の場合、この更新プログラムは再起動が必要です。この動作が起きた場合、再起動のメッセージが表示されます。

削除に関する情報

[コントロール パネル] [プログラムの追加と削除] を使用して、更新プログラムを右クリックして削除します。表示される更新プログラム名は、Microsoft ASP.NET Web Frameworks 5.0 セキュリティ更新プログラム (KB2992080) です。

更新プログラムに関する情報

サポート技術情報 2992080 を参照してください。

インストールの確認

[コントロール パネル] [プログラムの追加と削除] を使用して、[Microsoft ASP.NET Web Frameworks 5.0 セキュリティ更新プログラム (KB2992080)] を探します。NuGet 更新プログラムの場合は、展開されているバイナリのファイル バージョンは 5.0.20821.0 です。

 

ASP.NET MVC 5.1

参照表

次の表では、このソフトウェア用のセキュリティ更新プログラムの情報を記載しています。

概要

ASP.NET MVC 5.1 の更新プログラムは、Microsoft ダウンロード センターまたは NuGet から手動でインストールすることができます。この更新プログラムは、ASP.NET MVC 5.1 製品のパッチです。

インストールに関する情報

DLC パッケージのファイル名とダウンロード リンク

AspNetWebFxUpdate_KB2994397.msi

NuGet パッケージのファイル名

Microsoft.AspNet.Mvc.5.1.3.nupkg

NuGet の更新手順

NuGet を使用して Visual Studio プロジェクト パッケージを更新し、アプリケーションを再コンパイルして、展開します。

  1. Visual Studio でソリューションを開きます。
  2. ソリューション エクスプローラーで、参照ノードを右クリックし、[NuGet パッケージの管理] をクリックします。
  3. [更新] タブを選択します。更新プログラムが含まれるパッケージの一覧が中央のウィンドウに表示されます。
  4. 使用しているバージョンの ASP.NET MVC 用の更新プログラム パッケージを選択し、[更新] をクリックします。
  5. Web アプリケーションをコンパイルして展開します。

NuGet ダイアログを使用した NuGet パッケージの管理の詳細については、「Managing NuGet Packages Using the Dialog」(英語情報) を参照してください。

影響

この更新プログラムをインストールすると IIS が再起動します。

再起動の必要性

この更新プログラムは、システムの再起動が必要ない場合もあります。必要なファイルが使用中の場合、この更新プログラムは再起動が必要です。この動作が起きた場合、再起動のメッセージが表示されます。

削除に関する情報

[コントロール パネル] [プログラムの追加と削除] を使用して、更新プログラムを右クリックして削除します。表示される更新プログラム名は、Microsoft ASP.NET Web Frameworks 5.1 セキュリティ更新プログラム (KB2994397) です。

更新プログラムに関する情報

サポート技術情報 2994397 を参照してください。

インストールの確認

[コントロール パネル] [プログラムの追加と削除] を使用して、[Microsoft ASP.NET Web Frameworks 5.1 セキュリティ更新プログラム (KB2994397)] を探します。NuGet 更新プログラムの場合は、展開されているバイナリのファイル バージョンは 5.1.20821.0 です。

 

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

サポート

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2014/10/15):このセキュリティ情報ページを公開しました。

Page generated 2014-10-15 12:02Z-07:00.
表示: