Microsoft Security Bulletin MS15-041 - Importante

Vulnerabilidade no .NET Framework pode permitir a divulgação não autorizada de informações (3048010)

Publicado: terça-feira, 14 de abril de 2015 | Atualizado: May 12, 2015

Versão: 2.0

Resumo executivo

Esta atualização de segurança elimina uma vulnerabilidade no Microsoft .NET Framework. A vulnerabilidade pode permitir a divulgação não autorizada de informações se um invasor enviar uma solicitação da Web especialmente criada a um servidor afetado que tenha mensagens de erro personalizadas desabilitadas. O invasor que explorar com êxito a vulnerabilidade poderá exibir partes de um arquivo de configuração da Web, o que pode expor informações confidenciais.

Esta atualização de segurança é classificada como Importante para Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5, Microsoft .NET Framework 4.5.1 e Microsoft .NET Framework 4.5.2 em versões afetadas do Microsoft Windows. Para obter mais informações, consulte a seção Softwares afetados.

A atualização de segurança elimina a vulnerabilidade removendo detalhes do conteúdo do arquivo das mensagens de erro que estavam facilitando a divulgação de informações. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas frequentes sobre a vulnerabilidade específica.

Para obter mais informações sobre essa atualização, consulte o artigo 3048010 da Base de Dados de Conhecimento Microsoft.

Softwares afetados

As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.

^[1]. NET Framework 4 e .NET Framework 4 Client Profile afetados.

^[2]Esta actualização está disponível apenas através do Windows Update .

Perguntas frequentes sobre atualizações

Como determinar qual versão do Microsoft .NET Framework está instalada?
Você pode instalar e executar várias versões do .NET Framework em um sistema e pode instalar as versões em qualquer ordem. Para obter mais informações, consulte o artigo 318785 da Base de Dados de Conhecimento Microsoft.

Qual é a diferença entre o .NET Framework 4 e o .NET Framework 4 Client Profile?
Os pacotes redistribuíveis do .NET Framework versão 4 estão disponíveis em dois perfis: .NET Framework 4 e .NET Framework 4 Client Profile. O .NET Framework 4 Client Profile é um subconjunto do perfil do .NET Framework 4 otimizado para aplicativos cliente. Ele fornece funcionalidade para a maioria dos aplicativos cliente, incluindo recursos do Windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF) e ClickOnce. Isso permite uma implantação mais rápida e um pacote de instalação menor para aplicativos destinados ao .NET Framework 4 Client Profile. Para obter mais informações, consulte o artigo do MSDN, .NET Framework Client Profile. 

Há vários pacotes de atualização disponíveis para alguns dos softwares afetados. Preciso instalar todas as atualizações listadas na tabela Softwares afetados para o software?
Sim. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.

Preciso instalar essas atualizações de segurança em uma sequência específica?
Não. Várias atualizações para um determinado sistema podem ser aplicadas em qualquer sequência.

Classificações de gravidade e identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de abril.

^[1]. NET Framework 4 e .NET Framework 4 Client Profile afetados.

Informações de vulnerabilidade

Vulnerabilidade de divulgação não autorizada de informações ASP.NET - CVE-2015-1648

Existe uma vulnerabilidade de divulgação não autorizada de informações em ASP.NET que é causada quando ASP.NET manipula incorretamente determinadas solicitações em sistemas que têm mensagens de erro personalizadas desabilitadas. O invasor que explorar com êxito a vulnerabilidade poderá exibir partes de um arquivo de configuração da Web, o que pode expor informações confidenciais.

Para explorar essa vulnerabilidade, um invasor pode enviar uma solicitação da Web especialmente criada a um servidor afetado com a intenção de provocar uma mensagem de erro que possa divulgar informações referentes à linha de origem que originou a exceção. Em última análise, isso poderia divulgar informações que não deveriam ser acessíveis. A atualização de segurança elimina a vulnerabilidade removendo detalhes do conteúdo do arquivo das mensagens de erro que estavam facilitando a divulgação de informações.

Por padrão, ASP.NET aplicativos não são expostos a essa vulnerabilidade porque estão configurados para não exibir mensagens de erro detalhadas para usuários remotos. Às vezes, os desenvolvedores ativam mensagens de erro detalhadas para coletar informações e, em seguida, não conseguem desativá-las, o que exporia o aplicativo a essa vulnerabilidade.

A configuração padrão no web.config é a seguinte:

    <customerrors mode="remoteOnly">

Em um ambiente de produção, a prática recomendada veria essa entrada alterada para o seguinte:

    </customerrors><customerrors mode="On" defaultredirect="ErrorPage.htm"> 

Como regra geral, em ambientes de produção, os desenvolvedores nunca devem usar o seguinte:

    </customerrors><customerrors mode="off">

Observe que as mensagens de erro são personalizáveis com base no código de erro. Para obter mais informações, consulte customErrors Element (ASP.NET Settings Schema).

Como uma proteção adicional contra a desativação acidental de erros personalizados, as administrações de máquina podem ativar o modo de varejo. Consulte a solução alternativa relacionada neste boletim para obter mais informações.

A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis em sua situação:

• Somente os servidores IIS que servem mensagens de erro detalhadas são afetados; É improvável que os servidores de produção sejam afetados.

Soluções Alternativas

As seguintes soluções alternativas podem ser úteis em sua situação:

• Configurar o .NET no modo de varejo em todos os servidores Web

  Nos arquivos machine.config de todos os servidores Web, adicione a configuração "<deployment retail="true" />" à seção "system.web" da seção "configuration".

  Em sistemas de 32 bits, machine.config é encontrado em %windir%\Microsoft.NET\Framework\[version]\config\machine.config.

  Em sistemas de 64 bits, machine.config é encontrado em %windir%\Microsoft.NET\Framework64\[version]\config\machine.config.

  Para obter mais informações sobre essa configuração, consulte Elemento de implantação (esquema de configurações ASP.NET).

  Impacto da solução alternativa. Todas as ASP.NET mensagens de erro detalhadas de todos os sites em cada servidor serão suprimidas.

  Como desfazer a solução alternativa.

  Para desfazer a solução alternativa, remova a configuração que foi adicionada por meio deste procedimento.

   

• Habilitar erros personalizados para todos os sites

  Nos arquivos web.config de todos os sites, verifique se a configuração "customErrors" (na seção "system.web" da seção "configuration") não está definida como "off".  Os valores seguros são "on", "remoteonly" ou nenhuma configuração.

  Para obter mais informações sobre a configuração customErrors, consulte customErrors Element (ASP.NET Settings Schema).

  Impacto da solução alternativa. Todas as ASP.NET mensagens de erro detalhadas de todos os sites serão suprimidas.

  Como desfazer a solução alternativa.

  Para desfazer a solução alternativa, reverta as configurações que foram estabelecidas por meio deste procedimento.

Implantação de atualização de segurança

Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.

Agradecimentos

A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.  

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

• V1.0 (14 de abril de 2015): Boletim publicado.
• V2.0 (12 de maio de 2015): Boletim relançado para resolver problemas com a atualização de 3037580 para o Microsoft .NET Framework 4.5/4.5.1/4.5.2 em edições afetadas do Microsoft Windows. Os clientes que executam essas versões do .NET Framework são incentivados a instalar a nova versão da atualização do 3037580 para se protegerem da vulnerabilidade discutida neste boletim. Consulte o Artigo 3037580 da Base de Dados de Conhecimento Microsoft para obter mais informações.

Página gerada em 06/05/2015 13:24Z-07:00.