Bulletin zabezpečení
Bulletin zabezpečení společnosti Microsoft MS10-070 - Důležité
Ohrožení zabezpečení v ASP.NET by mohlo umožnit zpřístupnění informací (2418042)
Publikováno: 28. září 2010 | Aktualizováno: 26. října 2011
Verze: 4.2
Obecné informace
Shrnutí
Tato aktualizace zabezpečení řeší veřejně zveřejněné ohrožení zabezpečení v ASP.NET. Toto ohrožení zabezpečení může umožnit zpřístupnění informací. Útočník, který tuto chybu zabezpečení úspěšně zneužil, může číst data, například stav zobrazení, který server zašifroval. Tato chyba zabezpečení se dá použít také pro manipulaci s daty, která se v případě úspěšného zneužití dají použít k dešifrování a manipulaci s daty zašifrovanými serverem. Verze rozhraní Microsoft .NET Framework starší než Microsoft .NET Framework 3.5 Service Pack 1 nejsou ovlivněny částí tohoto ohrožení zabezpečení spočívající ve zpřístupnění obsahu souboru.
Tato aktualizace zabezpečení je hodnocena jako důležitá pro všechny podporované edice ASP.NET s výjimkou microsoft .NET Framework 1.0 Service Pack 3. Další informace najdete v pododdílu Ovlivněný a Neovlivněný software v této části.
Aktualizace zabezpečení řeší toto ohrožení zabezpečení tím, že dodatečně podepíše všechna data zašifrovaná ASP.NET. Další informace o ohrožení zabezpečení najdete v pododdílu Nejčastější dotazy pro konkrétní položku ohrožení zabezpečení v další části Informace o ohrožení zabezpečení.
Tato aktualizace zabezpečení řeší také chybu zabezpečení popsanou v informačním zpravodaji zabezpečení společnosti Microsoft 2416728.
Doporučení. Společnost Microsoft doporučuje, aby zákazníci tuto aktualizaci použili při nejbližší příležitosti.
Viz také část Nástroje pro zjišťování a nasazení a pokyny dále v tomto bulletinu.
Známé problémy.Článek znalostní báze Microsoft Knowledge Base 2418042 dokumentuje aktuálně známé problémy, se kterými se zákazníci mohou setkat při instalaci této aktualizace zabezpečení. Článek také dokumentuje doporučená řešení těchto problémů.
Ovlivněný a neovlivněný software
Následující software byl testován k určení, které verze nebo edice jsou ovlivněny. Jiné verze nebo edice jsou buď po jejich životním cyklu podpory, nebo nejsou ovlivněny. Pokud chcete určit životní cyklus podpory pro vaši verzi nebo edici softwaru, navštivte podpora Microsoftu životní cyklus.
Ovlivněný software
*Ovlivněna instalace jádra serveru. Tato aktualizace platí pro podporované edice systému Windows Server 2008 R2 se stejnou závažností, ať už je nainstalovaná pomocí možnosti instalace jádra serveru. Další informace o této možnosti instalace najdete v článcích TechNet, Správa instalace jádra serveru a údržba instalace jádra serveru. Všimněte si, že možnost instalace jádra serveru se nevztahuje na některé edice systému Windows Server 2008 a Windows Server 2008 R2; Viz Porovnání možností instalace jádra serveru.
**Instalace jádra serveru není ovlivněna. Chyby zabezpečení vyřešené touto aktualizací nemají vliv na podporované edice systému Windows Server 2008, jak je uvedeno v případě instalace pomocí možnosti instalace jádra serveru. Další informace o této možnosti instalace najdete v článcích TechNet, Správa instalace jádra serveru a údržba instalace jádra serveru. Všimněte si, že možnost instalace jádra serveru se nevztahuje na některé edice systému Windows Server 2008 a Windows Server 2008 R2; Viz Porovnání možností instalace jádra serveru.
[1]. Net Framework 4.0 – Profil klienta není ovlivněn. Distribuovatelné balíčky rozhraní .NET Framework verze 4 jsou k dispozici ve dvou profilech: .NET Framework 4.0 a .NET Framework 4.0 Client Profile. Profil klienta rozhraní .NET Framework 4.0 je podmnožinou rozhraní .NET Framework 4.0. Ohrožení zabezpečení vyřešené v této aktualizaci má vliv pouze na rozhraní .NET Framework 4.0, nikoli na profil klienta rozhraní .NET Framework 4.0. Další informace naleznete v tématu: Instalace rozhraní .NET Framework.
Software, který není ovlivněný
Operační systém | Komponenta |
---|---|
Microsoft .NET Framework 1.0 Service Pack 3 | |
Windows XP Service Pack 3 | Microsoft .NET Framework 1.0 Service Pack 3 (pouze windows XP Media Center Edition 2005 a Windows XP Tablet PC Edition 2005) |
Microsoft .NET Framework 3.5.1 | |
Windows 7 pro 32bitové systémy Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows 7 pro systémy založené na platformě x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows Server 2008 R2 pro počítače s procesorem Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Nejčastější dotazy související s touto aktualizací zabezpečení
Proč byl tento bulletin revidován 22. února 2011?
Společnost Microsoft přepracovala tento bulletin zabezpečení, aby oznámila změnu detekce, která nabízí balíčky aktualizací microsoft .NET Framework 4.0 (KB2416472) systémům se systémem Windows 7 pro 32bitové systémy Service Pack 1, Windows 7 pro systémy s procesorem x64 service Pack 1, Windows Server 2008 R2 pro systémy x64 Service Pack 1 a Windows Server 2008 R2 pro systémy s procesorem Itanium Service Pack 1. Tato změna detekce se vztahuje pouze na zákazníky, kteří nainstalují rozhraní Microsoft .NET Framework 4.0 po instalaci systému Windows 7 pro 32bitové systémy Service Pack 1, Windows 7 pro systémy x64 s procesorem Service Pack 1, Windows Server 2008 R2 s procesorem x64 service Pack 1 nebo Windows Server 2008 R2 s procesorem Itanium Service Pack 1. Zákazníci, kteří už úspěšně aktualizovali své systémy, nemusí provádět žádnou akci.
Proč byl tento bulletin opraven 14. prosince 2010?
Společnost Microsoft upravila tento bulletin zabezpečení, aby oznámila, že nové balíčky aktualizací jsou k dispozici pro rozhraní Microsoft .NET Framework 4.0 (KB2416472). Tyto nové balíčky opravují problém v instalačním programu, který by mohl narušit úspěšnou instalaci jiných aktualizací. Další informace najdete v 2473228 článku znalostní báze Microsoft Knowledge Base, kteří mohou mít instalaci jiného produktu nebo aktualizace, na které může tento problém mít vliv. Zákazníci, kteří už úspěšně aktualizovali své systémy, nemusí provádět žádnou akci.
Mám nainstalované rozhraní .NET Framework 3.0 Service Pack 2; tato verze není uvedena mezi ovlivněným softwarem v tomto bulletinu. Musím nainstalovat aktualizaci?
Tento bulletin popisuje ohrožení zabezpečení ve vrstvách funkcí rozhraní .NET Framework 2.0 a .NET Framework 3.5. Instalační program .NET Framework 3.0 Service Pack 2 je v instalačním programu rozhraní .NET Framework 2.0 Service Pack 2, takže instalace předchozího instalačního programu také nainstaluje. Proto zákazníci, kteří mají nainstalované rozhraní .NET Framework 3.0 Service Pack 2, musí instalovat aktualizace zabezpečení pro rozhraní .NET Framework 2.0 Service Pack 2.
Mám nainstalované rozhraní .NET Framework 3.5. Musím nainstalovat další aktualizace?
Tento bulletin popisuje ohrožení zabezpečení ve vrstvách funkcí rozhraní .NET Framework 2.0 a .NET Framework 3.5. Instalační program rozhraní .NET Framework 3.5 je zřetěděný v instalačním programu rozhraní .NET Framework 2.0 Service Pack 1 i v instalačním programu .NET Framework 3.0 Service Pack 1. Proto zákazníci, kteří mají nainstalované rozhraní .NET Framework 3.5, musí kromě aktualizací rozhraní .NET Framework 3.5 nainstalovat také aktualizace zabezpečení pro .NET Framework 2.0 Service Pack 1.
Nápovědu k určení, jestli jsou v systému nainstalované nějaké další verze rozhraní .NET Framework, najdete v položce Nejčastější dotazy , "Návody určit, která verze rozhraní Microsoft .NET Framework je nainstalována", dále v této části.
Mám nainstalované rozhraní .NET Framework 3.5 Service Pack 1. Musím nainstalovat další aktualizace?
Tento bulletin popisuje ohrožení zabezpečení ve vrstvách funkcí rozhraní .NET Framework 2.0 a .NET Framework 3.5. Instalační program .NET Framework 3.5 Service Pack 1 je zřetěděný v instalačním programu .NET Framework 2.0 Service Pack 2 i v instalačním programu .NET Framework 3.0 Service Pack 2. Proto zákazníci, kteří mají nainstalované rozhraní .NET Framework 3.5 Service Pack 1, musí také instalovat aktualizace zabezpečení pro rozhraní .NET Framework 2.0 Service Pack 2.
Nápovědu k určení, jestli jsou v systému nainstalované nějaké další verze rozhraní .NET Framework, najdete v položce Nejčastější dotazy , "Návody určit, která verze rozhraní Microsoft .NET Framework je nainstalována", dále v této části.
Proč byl tento bulletin revidován 30. září 2010?
Společnost Microsoft tento bulletin revidovala, aby oznámila, že aktualizace jsou nyní dostupné prostřednictvím všech distribučních kanálů, včetně služby Microsoft Update a služba Windows Update. Kromě toho byly do této revize zahrnuty také následující objasnění a opravy:
- Provedli jsme následující opravy tabulky Ovlivněný software:
- Popis bulletinu pro aktualizaci KB2418241 byl opraven tak, aby zahrnoval rozhraní .NET Framework 3.5 Service Pack 1 v systémech Windows XP a Windows Server 2003. Toto byla pouze změna bulletinu. Zákazníci, kteří úspěšně nainstalovali aktualizaci KB2418241 nemusí přeinstalovat. Zákazníci se systémem .NET Framework 3.5 Service Pack 1 v systémech Windows XP nebo Windows Server 2003, kteří nenainstalovali aktualizaci KB2418241 by měli aktualizaci použít při nejbližší příležitosti, i když již použili aktualizaci KB2416473 pro rozhraní .NET Framework 3.5 Service Pack 1. Zákazníci by měli použít všechny aktualizace nabízené pro software nainstalovaný v jejich systémech.
- Popis bulletinu pro aktualizaci KB2416474 byl opraven tak, aby zahrnoval rozhraní .NET Framework 3.5 Service Pack 1 v systémech Windows Vista a Windows Server 2008. Toto byla pouze změna bulletinu. Zákazníci, kteří úspěšně nainstalovali aktualizaci KB2416474 nemusí přeinstalovat. Zákazníci se systémem .NET Framework 3.5 Service Pack 1 v systémech Windows Vista nebo Windows Server 2008, kteří nenainstalovali aktualizaci KB2416474 by měli aktualizaci použít při nejbližší příležitosti, i když již použili aktualizaci KB2416473 pro rozhraní .NET Framework 3.5 Service Pack 1. Zákazníci by měli použít všechny aktualizace nabízené pro software nainstalovaný v jejich systémech.
- Popis bulletinu pro aktualizaci KB2416470 byl opraven tak, aby zahrnoval rozhraní Microsoft .NET Framework 3.5 a Microsoft .NET Framework 3.5 Service Pack 1 v systémech Windows Vista a Windows Server 2008. Toto byla pouze změna bulletinu. Zákazníci, kteří úspěšně nainstalovali aktualizaci KB2416470 nemusí přeinstalovat. Zákazníci se systémem .NET Framework 3.5 a Microsoft .NET Framework 3.5 Service Pack 1 v systémech Windows Vista nebo Windows Server 2008, kteří nenainstalovali aktualizaci KB2416470 by měli aktualizaci použít nejdříve, i když již použili aktualizaci KB2418240 pro rozhraní .NET Framework 3.5 a aktualizovat KB2416473 pro rozhraní .NET Framework 3.5 Service Pack 1. Zákazníci by měli použít všechny aktualizace nabízené pro software nainstalovaný v jejich systémech.
- Aktualizace KB2418240 byla uvedena jako další aktualizace pro systémy .NET Framework 3.5 pro systém Windows XP, Windows Server 2003, Windows Vista Service Pack 1 a Windows Server 2008. Toto byla pouze změna bulletinu. Zákazníci, kteří úspěšně nainstalovali aktualizaci KB2418240 nemusí přeinstalovat. Zákazníci se systémem .NET Framework 3.5 v systémech Windows XP, Windows Server 2003, Windows Vista a Windows Server 2008, kteří nenainstalovali aktualizaci KB2418240 by měli aktualizaci nejdříve použít, i když už použili jinou aktualizaci pro rozhraní .NET Framework 3.5. Zákazníci by měli použít všechny aktualizace nabízené pro software nainstalovaný v jejich systémech.
- Přidali jsme nejčastější dotazy Návody určení, která verze rozhraní Microsoft .NET Framework je nainstalovaná?" v této části.
- Přidali jsme nejčastější dotazy: "V systému jsou uvedeny dvě aktualizace pro verzi rozhraní Microsoft .NET Framework. Potřebuji nainstalovat obě aktualizace?" v této části.
- Přidali jsme nejčastější dotazy: "Potřebuji nainstalovat tyto aktualizace zabezpečení v určitém pořadí?" v této části.
Návody určit, která verze rozhraní Microsoft .NET Framework je nainstalovaná?
V systému můžete nainstalovat a spustit více verzí rozhraní .NET Framework a verze můžete nainstalovat v libovolném pořadí. Existuje několik způsobů, jak určit, které verze rozhraní .NET Framework jsou aktuálně nainstalovány. Další informace naleznete v článku znalostní báze Microsoft Knowledge Base 318785.
Pro verzi rozhraní Microsoft .NET Framework nainstalované v mém systému jsou uvedeny dvě aktualizace. Musím nainstalovat obě aktualizace?
Ano. Zákazníci by měli použít všechny aktualizace nabízené pro software nainstalovaný v jejich systémech.
Musím tyto aktualizace zabezpečení nainstalovat v určitém pořadí?
Ne. V libovolné sekvenci lze použít více aktualizací pro jednu verzi rozhraní .NET Framework. Doporučujeme použít více aktualizací pro různé verze rozhraní .NET Framework v pořadí od nejnižšího čísla verze po nejvyšší, ale tato posloupnost není nutná.
Kde jsou podrobnosti o informacích o souboru?
Informace o umístění podrobností o informacích o souboru najdete v referenčních tabulkách v části Nasazení aktualizace zabezpečení.
Používám starší verzi softwaru probíraného v tomto bulletinu zabezpečení. Co mám dělat?
Ovlivněný software uvedený v tomto bulletinu byl testován, aby zjistil, které verze jsou ovlivněny. Další verze jsou po životním cyklu podpory. Další informace o životním cyklu produktu najdete na webu podpora Microsoftu Lifecycle.
Měla by být prioritou pro zákazníky, kteří mají starší verze softwaru, aby migrovali na podporované verze, aby se zabránilo potenciálnímu ohrožení zabezpečení. Pokud chcete určit životní cyklus podpory pro vaši verzi softwaru, přečtěte si téma Výběr produktu pro informace o životním cyklu. Další informace oaktualizacích
Zákazníci, kteří vyžadují vlastní podporu pro starší software, musí kontaktovat zástupce svého účtu Microsoft, správce technického účtu nebo příslušného zástupce partnera Microsoftu a požádat o vlastní možnosti podpory. Zákazníci bez smlouvy Alliance, Premier nebo Autorizované smlouvy můžou kontaktovat místní prodejní kancelář Microsoftu. Kontaktní informace získáte tak, že navštívíte web Microsoft Worldwide Information , vyberete zemi v seznamu kontaktních informací a kliknutím na tlačítko Přejít zobrazíte seznam telefonních čísel. Když zavoláte, požádejte o hovor s místním manažerem prodeje Premier Support. Další informace najdete v nejčastějších dotazech k zásadám životního cyklu podpora Microsoftu.
Informace o ohrožení zabezpečení
Hodnocení závažnosti a identifikátory ohrožení zabezpečení
Následující hodnocení závažnosti předpokládají potenciální maximální dopad ohrožení zabezpečení. Informace týkající se pravděpodobnosti, že do 30 dnů od vydání tohoto bulletinu zabezpečení dojde k zneužití ohrožení zabezpečení ve vztahu k jeho závažnosti a dopadu na zabezpečení, najdete v souhrnu bulletinu o zneužití indexu zneužitelnosti. Další informace naleznete v tématu Microsoft Exploitability Index.
Ovlivněný software | ASP.NET ohrožení zabezpečení Oracle odsazení – CVE-2010-3332 | Agregované hodnocení závažnosti |
---|---|---|
Microsoft .NET Framework 1.1 Service Pack 1 | ||
Microsoft .NET Framework 1.1 Service Pack 1 při instalaci v systému Windows XP Service Pack 3 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 1.1 Service Pack 1 při instalaci v systému Windows XP Professional x64 Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 1.1 Service Pack 1 v systému Windows Server 2003 Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 1.1 Service Pack 1 při instalaci v systému Windows Server 2003 x64 Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 1.1 Service Pack 1 při instalaci v systému Windows Server 2003 s procesorem Itanium Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 1.1 Service Pack 1 při instalaci v systému Windows Vista Service Pack 1 a Windows Vista Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 1.1 Service Pack 1 při instalaci v systému Windows Vista x64 Edition Service Pack 1 a Windows Vista x64 Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 1.1 Service Pack 1 při instalaci v systému Windows Server 2008 pro 32bitové systémy a Windows Server 2008 pro 32bitové systémy Service Pack 2** | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 1.1 Service Pack 1 při instalaci v systému Windows Server 2008 pro systémy x64 a Windows Server 2008 pro systémy x64 s aktualizací Service Pack 2** | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 1.1 Service Pack 1 při instalaci v systémech Windows Server 2008 s procesorem Itanium a Windows Server 2008 s procesorem Itanium Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 2.0 Service Pack 1 | ||
Microsoft .NET Framework 2.0 Service Pack 1 v systému Windows Vista Service Pack 1 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 2.0 Service Pack 1 v systému Windows Vista x64 Edition Service Pack 1 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 2.0 Service Pack 1 v systému Windows Server 2008 pro 32bitové systémy** | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 2.0 Service Pack 1 v systému Windows Server 2008 pro systémy x64** | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 2.0 Service Pack 1 v systému Windows Server 2008 pro počítače s procesorem Itanium | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 2.0 Service Pack 2 | ||
Microsoft .NET Framework 2.0 Service Pack 2 při instalaci v systému Windows XP Service Pack 3 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 2.0 Service Pack 2 při instalaci v systému Windows XP Professional x64 Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 2.0 Service Pack 2 při instalaci v systému Windows Server 2003 Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 2.0 Service Pack 2 při instalaci v systému Windows Server 2003 x64 Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 2.0 Service Pack 2 při instalaci v systému Windows Server 2003 s aktualizací SP2 pro počítače s procesorem Itanium | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 2.0 Service Pack 2 v systému Windows Vista Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 2.0 Service Pack 2 v systému Windows Vista x64 Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 2.0 Service Pack 2 v systému Windows Server 2008 pro 32bitové systémy Service Pack 2** | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 2.0 Service Pack 2 v systému Windows Server 2008 pro systémy založené na platformě x64 Service Pack 2** | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 2.0 Service Pack 2 v systému Windows Server 2008 pro počítače s procesorem Itanium Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 | ||
Microsoft .NET Framework 3.5 při instalaci v systému Windows XP Service Pack 3 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 při instalaci v systému Windows XP Professional x64 Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 při instalaci v systému Windows Server 2003 Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 při instalaci v systému Windows Server 2003 x64 Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 při instalaci v systému Windows Server 2003 s aktualizací SP2 pro počítače s procesorem Itanium | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 při instalaci v systému Windows Vista Service Pack 1 a Windows Vista Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 při instalaci v systému Windows Vista x64 Edition Service Pack 1 a Windows Vista x64 Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 při instalaci v systému Windows Server 2008 pro 32bitové systémy** | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 při instalaci v systému Windows Server 2008 pro systémy x64** | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 při instalaci v systému Windows Server 2008 pro počítače s procesorem Itanium | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 Service Pack 1 | ||
Microsoft .NET Framework 3.5 Service Pack 1 při instalaci v systému Windows XP Service Pack 3 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 Service Pack 1 při instalaci v systému Windows XP Professional x64 Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 Service Pack 1 při instalaci v systému Windows Server 2003 Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 Service Pack 1 při instalaci v systému Windows Server 2003 x64 Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 Service Pack 1 při instalaci v systému Windows Server 2003 s aktualizací SP2 pro počítače s procesorem Itanium | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 Service Pack 1 při instalaci v systému Windows Vista Service Pack 1 a Windows Vista Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 Service Pack 1 při instalaci v systému Windows Vista x64 Edition Service Pack 1 a Windows Vista x64 Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 Service Pack 1 při instalaci v systému Windows Server 2008 pro 32bitové systémy a Windows Server 2008 pro 32bitové systémy Service Pack 2** | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 Service Pack 1 při instalaci v systému Windows Server 2008 pro systémy x64 a Windows Server 2008 pro systémy x64 s aktualizací Service Pack 2** | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5 Service Pack 1 při instalaci v systémech Windows Server 2008 s procesorem Itanium a Windows Server 2008 s procesorem Itanium Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5.1 | ||
Microsoft .NET Framework 3.5.1 ve Windows 7 pro 32bitové systémy | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5.1 ve Windows 7 pro systémy x64 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5.1 ve Windows Serveru 2008 R2 pro systémy x64* | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 3.5.1 ve Windows Serveru 2008 R2 pro počítače s procesorem Itanium | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 4.0 | ||
Microsoft .NET Framework 4.0 v systému Windows XP Service Pack 3 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 4.0 v systému Windows XP Professional x64 Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 4.0 v systému Windows Server 2003 Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 4.0 v systému Windows Server 2003 x64 Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 4.0 v systému Windows Server 2003 s aktualizací SP2 pro počítače s procesorem Itanium | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 4.0 v systému Windows Vista Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 4.0 v systému Windows Vista x64 Edition Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 4.0 v systému Windows Server 2008 pro 32bitové systémy Service Pack 2** | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 4.0 v systému Windows Server 2008 pro systémy založené na platformě x64 Service Pack 2** | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 4.0 v systému Windows Server 2008 pro počítače s procesorem Itanium Service Pack 2 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 4.0 ve Windows 7 pro 32bitové systémy a Windows 7 pro 32bitové systémy Service Pack 1 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 4.0 ve Windows 7 pro systémy x64 a Windows 7 pro systémy x64 s platformou Service Pack 1 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 4.0 v systému Windows Server 2008 R2 pro systémy x64 | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 4.0 v systému Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1* | Důležité zpřístupnění informací | Důležité upozornění |
Microsoft .NET Framework 4.0 v systému Windows Server 2008 R2 s procesorem Itanium a Windows Server 2008 R2 pro počítače s procesorem Itanium Service Pack 1 | Důležité zpřístupnění informací | Důležité upozornění |
*Ovlivněna instalace jádra serveru. Tato aktualizace platí pro podporované edice systému Windows Server 2008 nebo Windows Server 2008 R2 se stejnou závažností, bez ohledu na to, jestli je nainstalovaná pomocí možnosti instalace jádra serveru. Další informace o této možnosti instalace najdete v článcích TechNet, Správa instalace jádra serveru a údržba instalace jádra serveru. Všimněte si, že možnost instalace jádra serveru se nevztahuje na některé edice systému Windows Server 2008 a Windows Server 2008 R2; Viz Porovnání možností instalace jádra serveru.
**Instalace jádra serveru není ovlivněna. Ohrožení zabezpečení vyřešená touto aktualizací neovlivňují podporované edice systému Windows Server 2008 nebo Windows Server 2008 R2, jak je uvedeno při instalaci pomocí možnosti instalace jádra serveru. Další informace o této možnosti instalace najdete v článcích TechNet, Správa instalace jádra serveru a údržba instalace jádra serveru. Všimněte si, že možnost instalace jádra serveru se nevztahuje na některé edice systému Windows Server 2008 a Windows Server 2008 R2; Viz Porovnání možností instalace jádra serveru.
ASP.NET ohrožení zabezpečení Oracle odsazení – CVE-2010-3332
V ASP.NET existuje ohrožení zabezpečení spočívající ve zpřístupnění informací kvůli nesprávnému zpracování chyb při ověřování odsazení šifrování. Útočník, který tuto chybu zabezpečení úspěšně zneužil, může číst data, například stav zobrazení, který server zašifroval. Tato chyba zabezpečení se dá použít také pro manipulaci s daty, která se v případě úspěšného zneužití dají použít k dešifrování a manipulaci s daty zašifrovanými serverem. Všimněte si, že toto ohrožení zabezpečení by útočníkovi neumožňovalo spustit kód nebo zvýšit úroveň uživatelských práv přímo, ale bylo by možné použít k vytvoření informací, které by bylo možné použít k dalšímu ohrožení ovlivněného systému. V rozhraní Microsoft .NET Framework 3.5 Service Pack 1 a vyšší může útočník tuto chybu zabezpečení použít také k načtení obsahu libovolného souboru v aplikaci ASP.NET, včetně web.config.
Chcete-li zobrazit tuto chybu zabezpečení jako standardní položku v seznamu běžných ohrožení zabezpečení a ohrožení, podívejte se na CVE-2010-3332.
Faktory zmírnění rizik z důvodu ohrožení zabezpečení oracle odsazení ASP.NET - CVE-2010-3332
Zmírnění rizik označuje nastavení, běžnou konfiguraci nebo obecný osvědčený postup existující ve výchozím stavu, které by mohly snížit závažnost zneužití chyby zabezpečení. Ve vaší situaci můžou být užitečné následující faktory pro zmírnění rizika:
- Verze rozhraní Microsoft .NET Framework starší než Microsoft .NET Framework 3.5 Service Pack 1 nejsou ovlivněny částí tohoto ohrožení zabezpečení spočívající ve zpřístupnění obsahu souboru.
Alternativní řešení pro ohrožení zabezpečení oracle o odsazení ASP.NET – CVE-2010-3332
Alternativní řešení odkazuje na nastavení nebo změnu konfigurace, která neopraví základní ohrožení zabezpečení, ale pomůže zablokovat známé vektory útoku před použitím aktualizace. Microsoft otestoval následující alternativní řešení a uvádí v diskuzi, jestli alternativní řešení snižuje funkčnost:
Povolení pravidla urlScan nebo filtrování požadavků, povolení ASP.NET vlastních chyb a mapování všech kódů chyb na stejnou chybovou stránku
Povolení funkce customErrors ASP.NET a explicitní konfigurace aplikací tak, aby vždy vracely stejnou chybovou stránku bez ohledu na chybu, ke které došlo na serveru, může útočníkovi znesnadnit použití aktuálního zneužití k rozlišení různých typů chyb, ke kterým dochází na serveru.
V systémech používajících rozhraní .NET Framework verze 3.5 Service Pack 1 a vyšší poskytuje alternativní řešení další ochranu tím, že pomáhá také chránit před částí útoku na časování aktuálního zneužití. Alternativní řešení používá možnost redirectMode="ResponseRewrite" ve funkci customErrors a zavádí náhodné zpoždění na chybové stránce. Tyto přístupy spolupracují, aby bylo pro útočníka obtížnější odvodit typ chyby, ke které došlo na serveru, měřením doby, kterou trvalo přijetí chyby.
Toto alternativní řešení navíc vyžaduje blokování požadavků, které určují cestu k chybě aplikace v řetězci dotazu. Můžete to provést pomocí nástroje URLScan, což je bezplatný nástroj pro Internetová informační služba (IIS), který může selektivně blokovat požadavky na základě pravidel definovaných správcem. Pokud váš systém běží Internetová informační služba (IIS) v systému Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 nebo Windows Server 2008 R2, můžete alternativně použít funkci Filtrování požadavků.
Blokování požadavků, které upravují ASP.Net cestu k chybě aplikace v řetězci dotazu požadavku
Pomocí nástroje UrlScan:
Stáhněte a nainstalujte UrlScan 3.1. Další pokyny ke konfiguraci a použití nástroje UrlScan naleznete v tématu Odkaz UrlScan 3.
Upravte UrlScan.ini (nachází se v adresáři %windir%\system32\inetsrv\urlscan). Do části [DenyQueryStringSequences] souboru Urlscan.ini vložte následující řádek:
aspxerrorpath=
Až to uděláte, část [DenyQueryStringSequences] by měla vypadat podobně jako tato (další řádky v oddílu jsou v pořádku a nemají vliv na alternativní řešení):
[DenyQueryStringSequences] aspxerrorpath=
- Spusťte iisreset z příkazového řádku při přihlášení jako správce.
Filtrování požadavků služby IIS:
Tyto pokyny jsou alternativou pro výše uvedené pokyny UrlScan pro systémy se službou IIS v systému Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 nebo Windows Server 2008 R2.
Nainstalujte funkci filtrování požadavků ve službě IIS prostřednictvím příkazu Přidat nebo odebrat programy nebo správce rolí tak, že tuto funkci vyberete v části Internetová informační služba, World Wide Web Services, Security.
Spusťte správce Internetová informační služba (IIS).
V levém podokně vyberte uzel serveru.
Poklikejte na Filtrování požadavků.
Vyberte kartu Řetězce dotazu a v podokně Akce klikněte na Odepřít řetězec dotazu...
Do dialogového okna zadejte aspxerrorpath= a vyberte OK.
Alternativně můžete k nastavení tohoto řetězce dotazu požadavku použít také následující příkaz appcmd:
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']
Další informace o použití nástroje appcmd ke konfiguraci služby IIS naleznete v tématu Začínáme s AppCmd.exe.
Konfigurace ASP.Net aplikací tak, aby používaly jednotné vlastní chyby
V kořenové složce každé webové aplikace ASP.NET určete, jestli už v této složce máte soubor web.config. Abyste mohli toto alternativní řešení implementovat, musíte mít práva k vytvoření souboru v cílovém adresáři.
Pokud aplikace ASP.NET nemá soubor web.config:
V rozhraní .NET Framework 3.5 a starších verzích
- V kořenové složce aplikace ASP.NET vytvořte textový soubor s názvem web.config a vložte následující obsah:
<configuration>
2. Create a text file named **error.html** containing a generic error message and save it in the root folder of the ASP.NET application.
3. Alternatively, you can rename error.html in the **web.config** file to point to an existing error page, but that page must display generic content, not context-specific content.
**On .NET Framework 3.5 Service Pack 1 and later**
1. Create a text file named **web.config** in the root folder of the ASP.NET application, and insert the following contents:
```
<configuration>
```
2. If you are comfortable using C\#, we recommend using the following **ErrorPage.aspx** file:
```
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
```
```
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
```
```
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "https://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
```
```
<html xmlns="https://www.w3.org/1999/xhtml">