Microsoft Security Bulletin MS15-041 – Wichtig
Sicherheitsanfälligkeit in .NET Framework kann die Offenlegung von Informationen ermöglichen (3048010)
Veröffentlicht: 14. April 2015 | Aktualisiert: 12. Mai 2015
Version: 2.0
Kurzfassung
Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Microsoft .NET Framework. Die Sicherheitsanfälligkeit kann die Offenlegung von Informationen ermöglichen, wenn ein Angreifer eine speziell gestaltete Webanforderung an einen betroffenen Server sendet, auf dem benutzerdefinierte Fehlermeldungen deaktiviert sind. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Teile einer Webkonfigurationsdatei anzeigen, wodurch vertrauliche Informationen verfügbar gemacht werden können.
Dieses Sicherheitsupdate wird für Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5, Microsoft .NET Framework 4.5.1 und Microsoft .NET Framework 4.5.2 für betroffene Versionen von Microsoft Windows. Weitere Informationen finden Sie im Abschnitt Betroffene Software .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem Dateiinhaltsdetails aus den Fehlermeldungen entfernt werden, die die Offenlegung von Informationen erleichtert haben. Weitere Informationen zu diesem Sicherheitsrisiko finden Sie im Unterabschnitt Häufig gestellte Fragen (FAQ) für die spezifische Sicherheitsanfälligkeit.
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3048010.
Betroffene Software
Die folgenden Softwareversionen oder -editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Bestimmen des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
| Betriebssystem | Komponente | Maximale Sicherheitsbeeinträchtigung | Bewertung des Aggregierten Schweregrads | Updates ersetzt |
|---|---|---|---|---|
| Windows Server 2003 | ||||
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (3037572) | Veröffentlichung von Informationen | Wichtig | 2901115 in MS14-009 |
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037577) | Veröffentlichung von Informationen | Wichtig | 2901111 in MS14-009 |
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Veröffentlichung von Informationen | Wichtig | 2901110 in MS14-009 |
| Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037577) | Veröffentlichung von Informationen | Wichtig | 2901111 in MS14-009 |
| Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Veröffentlichung von Informationen | Wichtig | 2901110 in MS14-009 |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme | Microsoft .NET Framework 2.0 Service Pack 2 (3037577) | Veröffentlichung von Informationen | Wichtig | 2901111 in MS14-009 |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme | Microsoft .NET Framework 4[1](3037578) | Veröffentlichung von Informationen | Wichtig | 2901110 in MS14-009 |
| Windows Vista | ||||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037573) | Veröffentlichung von Informationen | Wichtig | 2901113 in MS14-009 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Veröffentlichung von Informationen | Wichtig | 2901110 in MS14-009 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Veröffentlichung von Informationen | Wichtig | 2901126 in MS14-009 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037573) | Veröffentlichung von Informationen | Wichtig | 2901113 in MS14-009 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Veröffentlichung von Informationen | Wichtig | 2901110 in MS14-009 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Veröffentlichung von Informationen | Wichtig | 2901126 in MS14-009 |
| Windows Server 2008 | ||||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037573) | Veröffentlichung von Informationen | Wichtig | 2901113 in MS14-009 |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Veröffentlichung von Informationen | Wichtig | 2901110 in MS14-009 |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Veröffentlichung von Informationen | Wichtig | 2901126 in MS14-009 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037573) | Veröffentlichung von Informationen | Wichtig | 2901113 in MS14-009 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Veröffentlichung von Informationen | Wichtig | 2901110 in MS14-009 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Veröffentlichung von Informationen | Wichtig | 2901126 in MS14-009 |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037573) | Veröffentlichung von Informationen | Wichtig | 2901113 in MS14-009 |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Veröffentlichung von Informationen | Wichtig | 2901110 in MS14-009 |
| Windows 7 | ||||
| Windows 7 für 32-Bit-Systeme Service Pack 1 | Microsoft .NET Framework 3.5.1 (3037574) | Veröffentlichung von Informationen | Wichtig | 2901112 in MS14-009 |
| Windows 7 für 32-Bit-Systeme Service Pack 1 | Microsoft .NET Framework 4[1](3037578) | Veröffentlichung von Informationen | Wichtig | 2901110 in MS14-009 |
| Windows 7 für 32-Bit-Systeme Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Veröffentlichung von Informationen | Wichtig | 2901126 in MS14-009 |
| Windows 7 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 3.5.1 (3037574) | Veröffentlichung von Informationen | Wichtig | 2901112 in MS14-009 |
| Windows 7 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 4[1](3037578) | Veröffentlichung von Informationen | Wichtig | 2901110 in MS14-009 |
| Windows 7 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Veröffentlichung von Informationen | Wichtig | 2901126 in MS14-009 |
| Windows Server 2008 R2 | ||||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 3.5.1 (3037574) | Veröffentlichung von Informationen | Wichtig | 2901112 in MS14-009 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 4[1](3037578) | Veröffentlichung von Informationen | Wichtig | 2901110 in MS14-009 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Veröffentlichung von Informationen | Wichtig | 2901126 in MS14-009 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 | Microsoft .NET Framework 3.5.1 (3037574) | Veröffentlichung von Informationen | Wichtig | 2901112 in MS14-009 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 | Microsoft .NET Framework 4[1](3037578) | Veröffentlichung von Informationen | Wichtig | 2901110 in MS14-009 |
| Windows 8 und Windows 8.1 | ||||
| Windows 8 für 32-Bit-Systeme | Microsoft .NET Framework 3.5 (3037575) | Veröffentlichung von Informationen | Wichtig | 2901120 in MS14-009 |
| Windows 8 für 32-Bit-Systeme | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037580) | Veröffentlichung von Informationen | Wichtig | 2901119 und 2901127 in MS14-009 |
| Windows 8 für x64-basierte Systeme | Microsoft .NET Framework 3.5 (3037575) | Veröffentlichung von Informationen | Wichtig | 2901120 in MS14-009 |
| Windows 8 für x64-basierte Systeme | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037580) | Veröffentlichung von Informationen | Wichtig | 2901119 und 2901127 in MS14-009 |
| Windows 8.1 für 32-Bit-Systeme | Microsoft .NET Framework 3.5 (3037576) | Veröffentlichung von Informationen | Wichtig | 2901125 in MS14-009 |
| Windows 8.1 für 32-Bit-Systeme | Microsoft .NET Framework 4.5.1/4.5.2 (3037579) | Veröffentlichung von Informationen | Wichtig | 2901128 in MS14-009 |
| Windows 8.1 für x64-basierte Systeme | Microsoft .NET Framework 3.5 (3037576) | Veröffentlichung von Informationen | Wichtig | 2901125 in MS14-009 |
| Windows 8.1 für x64-basierte Systeme | Microsoft .NET Framework 4.5.1/4.5.2 (3037579) | Veröffentlichung von Informationen | Wichtig | 2901128 in MS14-009 |
| Windows Server 2012 und Windows Server 2012 R2 | ||||
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3037575) | Veröffentlichung von Informationen | Wichtig | 2901120 in MS14-009 |
| Windows Server 2012 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037580) | Veröffentlichung von Informationen | Wichtig | 2901119 und 2901127 in MS14-009 |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3037576) | Veröffentlichung von Informationen | Wichtig | 2901125 in MS14-009 |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.5.1/4.5.2 (3037579) | Veröffentlichung von Informationen | Wichtig | 2901128 in MS14-009 |
| Windows RT und Windows RT 8.1 | ||||
| Windows RT | Microsoft .NET Framework 4.5/4.5.1/4.5.2[2](3037580) | Veröffentlichung von Informationen | Wichtig | 2901119 und 2901127 in MS14-009 |
| Windows RT 8.1 | Microsoft .NET Framework 4.5.1/4.5.2[2](3037579) | Veröffentlichung von Informationen | Wichtig | 2901128 in MS14-009 |
| Server Core-Installationsoption | ||||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) | Microsoft .NET Framework 3.5.1 (3037574) | Veröffentlichung von Informationen | Wichtig | 2901112 in MS14-009 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) | Microsoft .NET Framework 4[1](3037578) | Veröffentlichung von Informationen | Wichtig | 2901110 in MS14-009 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Veröffentlichung von Informationen | Wichtig | 2901126 in MS14-009 |
| Windows Server 2012 (Server Core-Installation) | Microsoft .NET Framework 3.5 (3037575) | Veröffentlichung von Informationen | Wichtig | 2901120 in MS14-009 |
| Windows Server 2012 (Server Core-Installation) | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037580) | Veröffentlichung von Informationen | Wichtig | 2901119 und 2901127 in MS14-009 |
| Windows Server 2012 R2 (Server Core-Installation) | Microsoft .NET Framework 3.5 (3037576) | Veröffentlichung von Informationen | Wichtig | 2901125 in MS14-009 |
| Windows Server 2012 R2 (Server Core-Installation) | Microsoft .NET Framework 4.5.1/4.5.2 (3037579) | Veröffentlichung von Informationen | Wichtig | 2901128 in MS14-009 |
[1].NET Framework 4 und .NET Framework 4 Clientprofil betroffen.
[2]Dieses Update ist nur über Windows Update verfügbar.
Häufig gestellte Fragen zum Aktualisieren
Gewusst wie bestimmen, welche Version von Microsoft .NET Framework installiert ist?
Sie können mehrere Versionen von .NET Framework auf einem System installieren und ausführen, und Sie können die Versionen in beliebiger Reihenfolge installieren. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 318785.
Was ist der Unterschied zwischen .NET Framework 4 und .NET Framework 4 Clientprofil?
Die .NET Framework verteilbaren Pakete der Version 4 sind in zwei Profilen verfügbar: .NET Framework 4 und .NET Framework 4 Clientprofil. Das .NET Framework 4-Clientprofil ist eine Teilmenge des .NET Framework 4-Profils, das für Clientanwendungen optimiert ist. Es bietet Funktionen für die meisten Clientanwendungen, einschließlich Windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF) und ClickOnce-Features. Dies ermöglicht eine schnellere Bereitstellung und ein kleineres Installationspaket für Anwendungen, die auf das clientprofil .NET Framework 4 ausgerichtet sind. Weitere Informationen finden Sie im MSDN-Artikel .NET Framework Clientprofil.
Für einige der betroffenen Software sind mehrere Updatepakete verfügbar. Muss ich alle Updates installieren, die in der Tabelle Betroffene Software für die Software aufgeführt sind?
Ja. Kunden sollten alle Updates anwenden, die für die auf ihren Systemen installierte Software angeboten werden.
Muss ich diese Sicherheitsupdates in einer bestimmten Reihenfolge installieren?
Nein. Mehrere Updates für ein bestimmtes System können in beliebiger Reihenfolge angewendet werden.
Schweregradbewertungen und Bezeichner für Sicherheitsrisiken
Bei den folgenden Schweregradbewertungen wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit vorausgesetzt. Informationen zur Wahrscheinlichkeit der Ausnutzbarkeit des Sicherheitsrisikos innerhalb von 30 Tagen nach der Veröffentlichung dieses Security Bulletins in Bezug auf den Schweregrad und die Sicherheitsauswirkungen finden Sie im Ausnutzungsindex im Bulletin Summary vom April.
| Bewertung des Sicherheitsrisikoschweregrads und maximale Auswirkungen auf die Sicherheit durch betroffene Software | ||
|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in ASP.NET – CVE-2015-1648 | Bewertung des Aggregierten Schweregrads |
| Microsoft .NET Framework 1.1 Service Pack 1 | ||
| Microsoft .NET Framework 1.1 Service Pack 1 unter Microsoft Windows Server 2003 Service Pack 2 (3037572) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 | ||
| Microsoft .NET Framework 2.0 Service Pack 2 bei Installation unter Microsoft Windows Server 2003 Service Pack 2 (3037577) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 bei Installation unter Microsoft Windows Server 2003 x64 Edition Service Pack 2 (3037577) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 bei Installation unter Microsoft Windows Server 2003 für Itanium-basierte Systeme Service Pack 2 (3037577) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Vista Service Pack 2 (3037573) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Vista x64 Edition Service Pack 2 (3037573) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3037573) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3037573) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Server 2008 für Itanium-Based Systems Service Pack 2 (3037573) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 | ||
| Microsoft .NET Framework 3.5 unter Windows 8 für 32-Bit-Systeme (3037575) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 unter Windows 8 für x64-basierte Systeme (3037575) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 unter Windows Server 2012 (3037575) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 unter Windows Server 2012 (Server Core-Installation) (3037575) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 unter Windows 8.1 für 32-Bit-Systeme (3037576) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 auf Windows 8.1 für x64-basierte Systeme (3037576) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 unter Windows Server 2012 R2 (3037576) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5 unter Windows Server 2012 R2 (Server Core-Installation) (3037576) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5.1 | ||
| Microsoft .NET Framework 3.5.1 unter Windows 7 für 32-Bit-Systeme Service Pack 1 (3037574) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5.1 unter Windows 7 für x64-basierte Systeme Service Pack 1 (3037574) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5.1 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3037574) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5.1 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3037574) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 3.5.1 unter Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3037574) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4 | ||
| Microsoft .NET Framework 4 bei Installation unter Windows Server 2003 Service Pack 2 (3037578)[1] | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4 bei Installation unter Windows Server 2003 x64 Edition Service Pack 2 (3037578)[1] | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4 bei Installation unter Windows Server 2003 mit SP2 für Itanium-basierte Systeme (3037578)[1] | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4 unter Windows Vista Service Pack 2 (3037578)[1] | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4 unter Windows Vista x64 Edition Service Pack 2 (3037578)[1] | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4 bei Installation unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3037578)[1] | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4 bei Installation unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3037578)[1] | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4 bei Installation unter Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3037578)[1] | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4 bei Installation unter Windows 7 für 32-Bit-Systeme Service Pack 1 (3037578)[1] | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4 bei Installation unter Windows 7 für x64-basierte Systeme Service Pack 1 (3037578)[1] | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4 bei Installation unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3037578)[1] | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4 bei Installation unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3037578)[1] | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4 bei Installation unter Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3037578)[1] | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 | ||
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 bei Installation unter Windows Vista Service Pack 2 (3037581) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 bei Installation unter Windows Vista x64 Edition Service Pack 2 (3037581) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 bei Installation unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3037581) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4/4.5.1/4.5.2 bei Installation unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3037581) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 bei Installation unter Windows 7 für 32-Bit-Systeme Service Pack 1 (3037581) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 bei Installation unter Windows 7 für x64-basierte Systeme Service Pack 1 (3037581) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 bei Installation unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3037581) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 bei Installation unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3037581) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 unter Windows 8 für 32-Bit-Systeme (3037580) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5.1/4.5.2 unter Windows 8.1 für 32-Bit-Systeme (3037579) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 unter Windows 8 für x64-basierte Systeme (3037580) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5.1/4.5.2 auf Windows 8.1 für x64-basierte Systeme (3037579) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 unter Windows Server 2012 (3037580) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 unter Windows Server 2012 (Server Core-Installation) (3037580) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5.1/4.5.2 unter Windows Server 2012 R2 (3037579) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5.1/4.5.2 unter Windows Server 2012 R2 (Server Core-Installation) (3037579) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 unter Windows RT (3037580) | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft .NET Framework 4.5.1/4.5.2 unter Windows RT 8.1 (3037579) | Wichtig Offenlegung von Informationen | Wichtig |
[1].NET Framework 4 und .NET Framework 4 Clientprofil betroffen.
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in ASP.NET – CVE-2015-1648
In ASP.NET liegt eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen vor, die verursacht wird, wenn ASP.NET bestimmte Anforderungen auf Systemen, für die benutzerdefinierte Fehlermeldungen deaktiviert sind, nicht ordnungsgemäß verarbeitet. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Teile einer Webkonfigurationsdatei anzeigen, wodurch vertrauliche Informationen verfügbar gemacht werden können.
Um diese Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer eine speziell gestaltete Webanforderung an einen betroffenen Server senden, mit der Absicht, eine Fehlermeldung auszulösen, die Informationen zu der Quellzeile offenlegen könnte, die die Ausnahme ausgelöst hat. Letztendlich könnten dadurch Informationen offengelegt werden, die nicht zugänglich sein sollten. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem Dateiinhaltsdetails aus den Fehlermeldungen entfernt werden, die die Offenlegung von Informationen erleichtert haben.
Standardmäßig sind ASP.NET Anwendungen nicht für diese Sicherheitsanfälligkeit verfügbar, da sie so konfiguriert sind, dass remotebenutzer keine detaillierten Fehlermeldungen angezeigt werden. Manchmal aktivieren Entwickler detaillierte Fehlermeldungen, um Informationen zu sammeln, und deaktivieren sie dann nicht, was dann die Anwendung für dieses Sicherheitsrisiko verfügbar machen würde.
Die Standardeinstellung in web.config lautet wie folgt:
<customerrors mode="remoteOnly">
In einer Produktionsumgebung wird dieser Eintrag nach bewährter Methode wie folgt geändert:
</customerrors><customerrors mode="On" defaultredirect="ErrorPage.htm">
In Produktionsumgebungen sollten Entwickler in der Regel niemals Folgendes verwenden:
</customerrors><customerrors mode="off">
Beachten Sie, dass Fehlermeldungen basierend auf dem Fehlercode angepasst werden können. Weitere Informationen finden Sie unter customErrors-Element (ASP.NET Settings Schema).
Als zusätzlichen Schutz vor versehentlicher Deaktivierung benutzerdefinierter Fehler können Computerverwaltungen den Einzelhandelsmodus aktivieren. Weitere Informationen finden Sie in der entsprechenden Problemumgehung in diesem Bulletin.
Microsoft hat informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Security Bulletin veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Schadensbegrenzende Faktoren
Die folgenden Milderungsfaktoren können in Ihrer Situation hilfreich sein:
- Nur IIS-Server, die ausführliche Fehlermeldungen bereitstellen, sind betroffen. Es ist unwahrscheinlich, dass Produktionsserver betroffen sind.
Problemumgehungen
Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:
Konfigurieren von .NET im Einzelhandelsmodus auf allen Webservern
Fügen Sie im machine.config-Dateien aller Webserver die Einstellung "<deployment retail="true" />" zum Abschnitt "system.web" des Abschnitts "configuration" hinzu.
Auf 32-Bit-Systemen finden Sie machine.config unter %windir%\Microsoft.NET\Framework\[version]\config\machine.config.
Auf 64-Bit-Systemen befindet sich machine.config unter %windir%\Microsoft.NET\Framework64\[version]\config\machine.config.
Weitere Informationen zu dieser Einstellung finden Sie unter deployment Element (ASP.NET Settings Schema).
Auswirkungen der Problemumgehung. Alle ASP.NET detaillierten Fehlermeldungen von allen Websites auf jedem Server werden unterdrückt.
Rückgängigmachen der Problemumgehung
Um die Problemumgehung rückgängig zu machen, entfernen Sie die Einstellung, die durch dieses Verfahren hinzugefügt wurde.
Aktivieren von benutzerdefinierten Fehlern für alle Websites
Stellen Sie im web.config Dateien für alle Websites sicher, dass die Einstellung "customErrors" (im Abschnitt "system.web" des Abschnitts "konfiguration") nicht auf "off" festgelegt ist. Sichere Werte sind "on", "remoteonly" oder gar keine Einstellung.
Weitere Informationen zur einstellung customErrors finden Sie unter customErrors-Element (ASP.NET Settings Schema).
Auswirkungen der Problemumgehung. Alle ASP.NET detaillierten Fehlermeldungen von allen Websites werden unterdrückt.
Rückgängigmachen der Problemumgehung
Um die Problemumgehung rückgängig zu machen, rückgängig machen die Einstellungen, die mit diesem Verfahren eingerichtet wurden.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen von Personen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Gewährleistung "wie ben" bereitgestellt. Microsoft lehnt jegliche Gewährleistungen ab, sei es ausdrücklich oder stillschweigend, einschließlich der Gewährleistungen der Marktgängigkeit und Eignung für einen bestimmten Zweck. In keinem Fall haften Die Microsoft Corporation oder ihre Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn Microsoft Corporation oder ihre Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (14. April 2015): Bulletin veröffentlicht.
- V2.0 (12. Mai 2015): Das Bulletin wurde erneut veröffentlicht, um Probleme mit dem 3037580 Update für Microsoft .NET Framework 4.5/4.5.1/4.5.2 für betroffene Editionen von Microsoft Windows zu beheben. Kunden, die diese Versionen von .NET Framework ausführen, werden empfohlen, die neue Version des 3037580 Updates zu installieren, die vor der in diesem Bulletin beschriebenen Sicherheitsanfälligkeit geschützt werden soll. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3037580 .
Seite generiert am 06.05.2015 13:24Z-07:00.