Boletín de seguridad
Boletín de seguridad de Microsoft MS10-070: importante
Vulnerabilidad en ASP.NET podría permitir la divulgación de información (2418042)
Publicado: 28 de septiembre de 2010 | Actualizado: 26 de octubre de 2011
Versión: 4.2
Información general
Resumen ejecutivo
Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente en ASP.NET. La vulnerabilidad podría permitir la divulgación de información. Un atacante que aprovechara correctamente esta vulnerabilidad podría leer datos, como el estado de vista, que el servidor cifró. Esta vulnerabilidad también se puede usar para la manipulación de datos, que, si se aprovecha correctamente, podría usarse para descifrar y manipular los datos cifrados por el servidor. Las versiones de Microsoft .NET Framework anteriores a Microsoft .NET Framework 3.5 Service Pack 1 no se ven afectadas por la parte de divulgación de contenido del archivo de esta vulnerabilidad.
Esta actualización de seguridad es importante para todas las ediciones compatibles de ASP.NET excepto Microsoft .NET Framework 1.0 Service Pack 3. Para obtener más información, consulte la subsección , Affected and Non-Affected Software (Software afectado y no afectado), en esta sección.
La actualización de seguridad aborda la vulnerabilidad mediante la firma de todos los datos cifrados por ASP.NET. Para obtener más información sobre la vulnerabilidad, consulte la subsección Preguntas más frecuentes (P+F) para obtener la entrada de vulnerabilidad específica en la sección siguiente, Información sobre vulnerabilidades.
Esta actualización de seguridad también aborda la vulnerabilidad descrita primero en el 2416728 de aviso de seguridad de Microsoft.
Recomendación. Microsoft recomienda que los clientes apliquen la actualización lo antes posible.
Consulte también la sección Herramientas de detección e implementación e instrucciones, más adelante en este boletín.
Problemas conocidos.El artículo de Microsoft Knowledge Base 2418042 documenta los problemas conocidos que los clientes pueden experimentar al instalar esta actualización de seguridad. En el artículo también se documentan soluciones recomendadas para estos problemas.
Software afectado y no afectado
Se ha probado el siguiente software para determinar qué versiones o ediciones se ven afectadas. Otras versiones o ediciones han pasado su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición del software, visite Soporte técnico de Microsoft Ciclo de vida.
Software afectado
Sistema operativo | Componente | Impacto máximo en la seguridad | Clasificación de gravedad agregada | Boletines reemplazados por esta actualización |
---|---|---|---|---|
Windows XP | ||||
Windows XP Service Pack 3 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) | Divulgación de información | Importante | MS10-041 |
Windows XP Service Pack 3 | Microsoft .NET Framework 2.0 Service Pack 2 y Microsoft .NET Framework 3.5 Service Pack 1 (KB2418241) Microsoft .NET Framework 3.5 (KB2416468) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows XP Professional x64 Edition Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) | Divulgación de información | Importante | MS10-041 |
Windows XP Professional x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 y Microsoft .NET Framework 3.5 Service Pack 1 (KB2418241) Microsoft .NET Framework 3.5 (KB2416468) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows Server 2003 | ||||
Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416451) Microsoft .NET Framework 2.0 Service Pack 2 y Microsoft .NET Framework 3.5 Service Pack 1 (KB2418241) Microsoft .NET Framework 3.05 (KB2416468) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) | Divulgación de información | Importante | MS10-041 |
Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 y Microsoft .NET Framework 3.5 Service Pack 1 (KB2418241) Microsoft .NET Framework 3.5 (KB2416468) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows Server 2003 con SP2 para sistemas basados en Itanium | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) | Divulgación de información | Importante | MS10-041 |
Windows Server 2003 con SP2 para sistemas basados en Itanium | Microsoft .NET Framework 2.0 Service Pack 2 y Microsoft .NET Framework 3.5 Service Pack 1 (KB2418241) Microsoft .NET Framework 3.5 (KB2416468) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows Vista | ||||
Windows Vista Service Pack 1 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows Vista Service Pack 1 | Microsoft .NET Framework 2.0 Service Pack 1 y Microsoft .NET Framework 3.5 (KB2416469) Microsoft .NET Framework 2.0 Service Pack 2 y Microsoft .NET Framework 3.5 Service Pack 1 (KB2416474) | Divulgación de información | Importante | MS09-036 |
Windows Vista Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5 y Microsoft .NET Framework 3.5 Service Pack 1 (KB2416470) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows Vista x64 Edition Service Pack 1 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows Vista x64 Edition Service Pack 1 | Microsoft .NET Framework 2.0 Service Pack 1 y Microsoft .NET Framework 3.5 (KB2416469) Microsoft .NET Framework 2.0 Service Pack 2 y Microsoft .NET Framework 3.5 Service Pack 1 (KB2416474) | Divulgación de información | Importante | MS09-036 |
Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5 y Microsoft .NET Framework 3.5 Service Pack 1 (KB2416470) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows Server 2008 | ||||
Windows Server 2008 para sistemas de 32 bits | Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447) Microsoft .NET Framework 3.5** (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473) Microsoft .NET Framework 4.0**[1](KB2416472) | Divulgación de información | Importante | None |
Windows Server 2008 para sistemas de 32 bits | Microsoft .NET Framework 2.0 Service Pack 1 y Microsoft .NET Framework 3.5** (KB2416469) Microsoft .NET Framework 2.0 Service Pack 2 y Microsoft .NET Framework 3.5 Service Pack 1** (KB2416474) | Divulgación de información | Importante | MS09-036 |
Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447) Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5 y Microsoft .NET Framework 3.5 Service Pack 1** (KB2416470) Microsoft .NET Framework 3.5** (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473) Microsoft .NET Framework 4.0**[1](KB2416472) | Divulgación de información | Importante | None |
Windows Server 2008 para sistemas basados en x64 | Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447) Microsoft .NET Framework 3.5** (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473) Microsoft .NET Framework 4.0**[1](KB2416472) | Divulgación de información | Importante | None |
Windows Server 2008 para sistemas basados en x64 | Microsoft .NET Framework 2.0 Service Pack 1 y Microsoft .NET Framework 3.5** (KB2416469) Microsoft .NET Framework 2.0 Service Pack 2 y Microsoft .NET Framework 3.5 Service Pack 1** (KB2416474) | Divulgación de información | Importante | MS09-036 |
Windows Server 2008 para sistemas basados en x64 Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447) Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5 y Microsoft .NET Framework 3.5 Service Pack 1** (KB2416470) Microsoft .NET Framework 3.5** (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473) Microsoft .NET Framework 4.0**[1](KB2416472) | Divulgación de información | Importante | None |
Windows Server 2008 para sistemas basados en Itanium | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows Server 2008 para sistemas basados en Itanium | Microsoft .NET Framework 2.0 Service Pack 1 y Microsoft .NET Framework 3.5 (KB2416469) Microsoft .NET Framework 2.0 Service Pack 2 y Microsoft .NET Framework 3.5 Service Pack 1 (KB2416474) | Divulgación de información | Importante | MS09-036 |
Windows Server 2008 para sistemas basados en Itanium Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447) Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5 y Microsoft .NET Framework 3.5 Service Pack 1 (KB2416470) Microsoft .NET Framework 3.5 (KB2418240) Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473) Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows 7 | ||||
Windows 7 para sistemas de 32 bits | Microsoft .NET Framework 3.5.1 (KB2416471) Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows 7 para sistemas de 32 bits Service Pack 1 | Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows 7 para sistemas basados en x64 | Microsoft .NET Framework 3.5.1 (KB2416471) Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows 7 para sistemas basados en x64 Service Pack 1 | Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows Server 2008 R2 | ||||
Windows Server 2008 R2 para sistemas basados en x64 | Microsoft .NET Framework 3.5.1* (KB2416471) Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 | Microsoft .NET Framework 4.0*[1](KB2416472) | Divulgación de información | Importante | None |
Windows Server 2008 R2 for Itanium-based Systems | Microsoft .NET Framework 3.5.1 (KB2416471) Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 | Microsoft .NET Framework 4.0[1](KB2416472) | Divulgación de información | Importante | None |
*Instalación de Server Core afectada. Esta actualización se aplica, con la misma clasificación de gravedad, a las ediciones compatibles de Windows Server 2008 R2 como se indica, independientemente de si se instalan o no mediante la opción de instalación Server Core. Para obtener más información sobre esta opción de instalación, consulte los artículos de TechNet, Administración de una instalación principal del servidor y mantenimiento de una instalación de Server Core. Tenga en cuenta que la opción de instalación Server Core no se aplica a determinadas ediciones de Windows Server 2008 y Windows Server 2008 R2; consulte Comparación de las opciones de instalación de Server Core.
**Instalación de Server Core no afectada. Las vulnerabilidades abordadas por esta actualización no afectan a las ediciones admitidas de Windows Server 2008, como se indica, cuando se instala mediante la opción de instalación Server Core. Para obtener más información sobre esta opción de instalación, consulte los artículos de TechNet, Administración de una instalación principal del servidor y mantenimiento de una instalación de Server Core. Tenga en cuenta que la opción de instalación Server Core no se aplica a determinadas ediciones de Windows Server 2008 y Windows Server 2008 R2; consulte Comparación de las opciones de instalación de Server Core.
[1]. El perfil de cliente de NET Framework 4.0 no se ve afectado. Los paquetes redistribuibles de .NET Framework versión 4 están disponibles en dos perfiles: .NET Framework 4.0 y perfil de cliente de .NET Framework 4.0. El perfil de cliente de .NET Framework 4.0 es un subconjunto de .NET Framework 4.0. La vulnerabilidad abordada en esta actualización afecta solo a .NET Framework 4.0 y no al perfil de cliente de .NET Framework 4.0. Para obtener más información, vea: Instalación de .NET Framework.
Software no afectado
Sistema operativo | Componente |
---|---|
Microsoft .NET Framework 1.0 Service Pack 3 | |
Windows XP Service Pack 3 | Microsoft .NET Framework 1.0 Service Pack 3 (Solo Windows XP Media Center Edition 2005 y Windows XP Tablet PC Edition 2005) |
Microsoft .NET Framework 3.5.1 | |
Windows 7 para sistemas de 32 bits Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows 7 para sistemas basados en x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad
¿Por qué se revisó este boletín el 22 de febrero de 2011?
Microsoft ha revisado este boletín de seguridad para anunciar un cambio de detección para ofrecer los paquetes de actualización de Microsoft .NET Framework 4.0 (KB2416472) a los sistemas que ejecutan Windows 7 para Sistemas de 32 bits Service Pack 1, Windows 7 para sistemas basados en x64 Service Pack 1, Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 y Windows Server 2008 R2 para Sistemas basados en Itanium Service Pack 1. Este cambio de detección solo se aplica a los clientes que instalan Microsoft .NET Framework 4.0 después de instalar Windows 7 para sistemas de 32 bits Service Pack 1, Windows 7 para sistemas basados en x64 Service Pack 1, Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 o Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1. Los clientes que ya han actualizado correctamente sus sistemas no necesitan realizar ninguna acción.
¿Por qué se revisó este boletín el 14 de diciembre de 2010?
Microsoft ha revisado este boletín de seguridad para anunciar que los nuevos paquetes de actualización están disponibles para Microsoft .NET Framework 4.0 (KB2416472). Estos nuevos paquetes corrigen un problema en la configuración que podría interferir con la instalación correcta de otras actualizaciones. Para los clientes que puedan tener una instalación de otro producto o actualización que pueda haber sido afectado por este problema, consulte el artículo de Microsoft Knowledge Base 2473228 para obtener información adicional. Los clientes que ya han actualizado correctamente sus sistemas no necesitan realizar ninguna acción.
Tengo instalado .NET Framework 3.0 Service Pack 2; esta versión no aparece entre el software afectado en este boletín. ¿Necesito instalar una actualización?
En este boletín se describe una vulnerabilidad en las capas de características de .NET Framework 2.0 y .NET Framework 3.5. El instalador de .NET Framework 3.0 Service Pack 2 se encadena en la configuración de .NET Framework 2.0 Service Pack 2, por lo que la instalación de la anterior también instala la última. Por lo tanto, los clientes que tengan instalado .NET Framework 3.0 Service Pack 2 deben instalar actualizaciones de seguridad para .NET Framework 2.0 Service Pack 2.
Tengo instalado .NET Framework 3.5. ¿Necesito instalar actualizaciones adicionales?
En este boletín se describe una vulnerabilidad en las capas de características de .NET Framework 2.0 y .NET Framework 3.5. El instalador de .NET Framework 3.5 se encadena en la configuración de .NET Framework 2.0 Service Pack 1 y en la configuración de Service Pack 1 de .NET Framework 3.0. Por lo tanto, los clientes que tengan instalado .NET Framework 3.5 también deben instalar actualizaciones de seguridad para .NET Framework 2.0 Service Pack 1 además de las actualizaciones de .NET Framework 3.5.
Para ayudar a determinar si hay versiones adicionales de .NET Framework instaladas en el sistema, consulte la entrada de preguntas más frecuentes, "Cómo determinar qué versión de Microsoft .NET Framework está instalada", más adelante en esta sección.
Tengo instalado .NET Framework 3.5 Service Pack 1. ¿Necesito instalar actualizaciones adicionales?
En este boletín se describe una vulnerabilidad en las capas de características de .NET Framework 2.0 y .NET Framework 3.5. El instalador de .NET Framework 3.5 Service Pack 1 se encadena en la configuración de .NET Framework 2.0 Service Pack 2 y en la configuración de .NET Framework 3.0 Service Pack 2. Por lo tanto, los clientes que tengan instalado .NET Framework 3.5 Service Pack 1 también deben instalar actualizaciones de seguridad para .NET Framework 2.0 Service Pack 2.
Para ayudar a determinar si hay versiones adicionales de .NET Framework instaladas en el sistema, consulte la entrada de preguntas más frecuentes, "Cómo determinar qué versión de Microsoft .NET Framework está instalada", más adelante en esta sección.
¿Por qué se revisó este boletín el 30 de septiembre de 2010?
Microsoft ha revisado este boletín para anunciar que las actualizaciones ya están disponibles a través de todos los canales de distribución, incluidos Microsoft Update y Windows Update. Además, en esta revisión también se incluyeron las siguientes aclaraciones y correcciones:
- Ha realizado las siguientes correcciones en la tabla Software afectado:
- La descripción del boletín para la actualización KB2418241 se corrigió para incluir .NET Framework 3.5 Service Pack 1 en sistemas Windows XP y Windows Server 2003. Este fue un cambio de boletín sólo. Los clientes que hayan instalado correctamente la actualización KB2418241 no necesitan volver a instalar. Los clientes que ejecutan .NET Framework 3.5 Service Pack 1 en sistemas Windows XP o Windows Server 2003 que no han instalado la actualización KB2418241 deben aplicar la actualización lo antes posible, incluso si ya han aplicado la actualización KB2416473 para .NET Framework 3.5 Service Pack 1. Los clientes deben aplicar todas las actualizaciones que se ofrecen para el software instalado en sus sistemas.
- La descripción del boletín para la actualización KB2416474 se corrigió para incluir .NET Framework 3.5 Service Pack 1 en sistemas Windows Vista y Windows Server 2008. Este fue un cambio de boletín sólo. Los clientes que hayan instalado correctamente la actualización KB2416474 no necesitan reinstalar. Los clientes que ejecutan .NET Framework 3.5 Service Pack 1 en sistemas Windows Vista o Windows Server 2008 que no han instalado la actualización KB2416474 deben aplicar la actualización a la primera oportunidad, incluso si ya han aplicado la actualización KB2416473 para .NET Framework 3.5 Service Pack 1. Los clientes deben aplicar todas las actualizaciones que se ofrecen para el software instalado en sus sistemas.
- La descripción del boletín para la actualización KB2416470 se corrigió para incluir Microsoft .NET Framework 3.5 y Microsoft .NET Framework 3.5 Service Pack 1 en sistemas Windows Vista y Windows Server 2008. Este fue un cambio de boletín sólo. Los clientes que hayan instalado correctamente la actualización KB2416470 no necesitan reinstalar. Los clientes que ejecutan .NET Framework 3.5 y Microsoft .NET Framework 3.5 Service Pack 1 en sistemas Windows Vista o Windows Server 2008 que no han instalado la actualización KB2416470 deben aplicar la actualización al principio de la oportunidad, incluso si ya han aplicado la actualización KB2418240 para .NET Framework 3.5 y actualizar KB2416473 para .NET Framework 3.5 Service Pack 1. Los clientes deben aplicar todas las actualizaciones que se ofrecen para el software instalado en sus sistemas.
- La actualización KB2418240 aparece como una actualización adicional para los sistemas .NET Framework 3.5 para Windows XP, Windows Server 2003, Windows Vista Service Pack 1 y Windows Server 2008. Este fue un cambio de boletín sólo. Los clientes que hayan instalado correctamente la actualización KB2418240 no necesitan volver a instalar. Los clientes que ejecutan sistemas .NET Framework 3.5 en Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008 que no han instalado la actualización KB2418240 deben aplicar la actualización lo antes posible, incluso si ya han aplicado una actualización diferente para .NET Framework 3.5. Los clientes deben aplicar todas las actualizaciones que se ofrecen para el software instalado en sus sistemas.
- En esta sección se agregaron las preguntas más frecuentes: "Cómo determinar qué versión de Microsoft .NET Framework está instalada".
- Se agregaron las preguntas más frecuentes: "Hay dos actualizaciones enumeradas para la versión de Microsoft .NET Framework instalada en mi sistema. ¿Necesito instalar ambas actualizaciones?" en esta sección.
- En esta sección se agregaron las preguntas más frecuentes: "¿Necesito instalar estas actualizaciones de seguridad en una secuencia determinada?".
Cómo determinar qué versión de Microsoft .NET Framework está instalada?
Puede instalar y ejecutar varias versiones de .NET Framework en un sistema y puede instalar las versiones en cualquier orden. Hay varias maneras de determinar qué versiones de .NET Framework están instaladas actualmente. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 318785.
Hay dos actualizaciones enumeradas para la versión de Microsoft .NET Framework instalada en mi sistema. ¿Es necesario instalar ambas actualizaciones?
Sí. Los clientes deben aplicar todas las actualizaciones que se ofrecen para el software instalado en sus sistemas.
¿Es necesario instalar estas actualizaciones de seguridad en una secuencia determinada?
No. Se pueden aplicar varias actualizaciones para una versión de .NET Framework en cualquier secuencia. Se recomienda aplicar varias actualizaciones para distintas versiones de .NET Framework en secuencia desde el número de versión más bajo hasta el más alto, pero esa secuencia no es necesaria.
¿Dónde están los detalles de la información del archivo?
Consulte las tablas de referencia de la sección Implementación de actualizaciones de seguridad para obtener la ubicación de los detalles de la información del archivo.
Estoy usando una versión anterior del software que se describe en este boletín de seguridad. ¿Cuál debo hacer?
El software afectado que aparece en este boletín se ha probado para determinar qué versiones se ven afectadas. Otras versiones han pasado su ciclo de vida de soporte técnico. Para obtener más información sobre el ciclo de vida del producto, visite el sitio web del ciclo de vida de Soporte técnico de Microsoft.
Debe ser una prioridad para los clientes que tienen versiones anteriores del software para migrar a versiones admitidas para evitar la posible exposición a vulnerabilidades. Para determinar el ciclo de vida de soporte técnico de la versión de software, consulte Seleccionar un producto para la información del ciclo de vida. Para obtener más información sobre los Service Packs para estas versiones de software, consulte Ciclo de vida compatible con Service Packs.
Los clientes que requieran soporte técnico personalizado para software anterior deben ponerse en contacto con su representante del equipo de cuentas de Microsoft, su Administrador de cuentas técnicas o el representante de asociado de Microsoft adecuado para las opciones de soporte técnico personalizadas. Los clientes sin alianza, premier o contrato autorizado pueden ponerse en contacto con su oficina de ventas local de Microsoft. Para obtener información de contacto, visite el sitio web información mundial de Microsoft, seleccione el país en la lista Información de contacto y, a continuación, haga clic en Ir para ver una lista de números de teléfono. Cuando llame, pida que hable con el administrador de ventas local de Soporte técnico Premier. Para obtener más información, consulte las preguntas más frecuentes sobre la directiva de ciclo de vida de Soporte técnico de Microsoft.
Información de vulnerabilidad
Clasificaciones de gravedad e identificadores de vulnerabilidad
Las siguientes clasificaciones de gravedad asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad e impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de septiembre. Para obtener más información, consulte Índice de vulnerabilidades de seguridad de Microsoft.
Software afectado | ASP.NET vulnerabilidad de Oracle de relleno: CVE-2010-3332 | Clasificación de gravedad agregada |
---|---|---|
Microsoft .NET Framework 1.1 Service Pack 1 | ||
Microsoft .NET Framework 1.1 Service Pack 1 cuando se instala en Windows XP Service Pack 3 | Divulgación de información importante | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 cuando se instala en Windows XP Professional x64 Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 en Windows Server 2003 Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 cuando se instala en Windows Server 2003 x64 Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 cuando se instala en Windows Server 2003 Itanium-based Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 cuando se instala en Windows Vista Service Pack 1 y Windows Vista Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 cuando se instala en Windows Vista x64 Edition Service Pack 1 y Windows Vista x64 Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 cuando se instala en Windows Server 2008 para sistemas de 32 bits y Windows Server 2008 para sistemas de 32 bits Service Pack 2** | Divulgación de información importante | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 cuando se instala en Windows Server 2008 para sistemas basados en x64 y Windows Server 2008 para sistemas basados en x64 Service Pack 2** | Divulgación de información importante | Importante |
Microsoft .NET Framework 1.1 Service Pack 1 cuando se instala en Windows Server 2008 para sistemas basados en Itanium y Windows Server 2008 para sistemas basados en Itanium Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 | ||
Microsoft .NET Framework 2.0 Service Pack 1 en Windows Vista Service Pack 1 | Divulgación de información importante | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 en Windows Vista x64 Edition Service Pack 1 | Divulgación de información importante | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 en Windows Server 2008 para sistemas de 32 bits** | Divulgación de información importante | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 en Windows Server 2008 para sistemas basados en x64** | Divulgación de información importante | Importante |
Microsoft .NET Framework 2.0 Service Pack 1 en Windows Server 2008 para sistemas basados en Itanium | Divulgación de información importante | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 | ||
Microsoft .NET Framework 2.0 Service Pack 2 cuando se instala en Windows XP Service Pack 3 | Divulgación de información importante | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 cuando se instala en Windows XP Professional x64 Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 cuando se instala en Windows Server 2003 Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 cuando se instala en Windows Server 2003 x64 Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 cuando se instala en Windows Server 2003 con SP2 para sistemas basados en Itanium | Divulgación de información importante | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 en Windows Vista Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 en Windows Vista x64 Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 en Windows Server 2008 para sistemas de 32 bits Service Pack 2** | Divulgación de información importante | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 en Windows Server 2008 para sistemas basados en x64 Service Pack 2** | Divulgación de información importante | Importante |
Microsoft .NET Framework 2.0 Service Pack 2 en Windows Server 2008 para sistemas basados en Itanium Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 | ||
Microsoft .NET Framework 3.5 cuando se instala en Windows XP Service Pack 3 | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 cuando se instala en Windows XP Professional x64 Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 cuando se instala en Windows Server 2003 Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 cuando se instala en Windows Server 2003 x64 Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 cuando se instala en Windows Server 2003 con SP2 para sistemas basados en Itanium | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 cuando se instala en Windows Vista Service Pack 1 y Windows Vista Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 cuando se instala en Windows Vista x64 Edition Service Pack 1 y Windows Vista x64 Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 cuando se instala en Windows Server 2008 para sistemas de 32 bits** | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 cuando se instala en Windows Server 2008 para sistemas basados en x64** | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 cuando se instala en Windows Server 2008 para sistemas basados en Itanium | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 | ||
Microsoft .NET Framework 3.5 Service Pack 1 cuando se instala en Windows XP Service Pack 3 | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 cuando se instala en Windows XP Professional x64 Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 cuando se instala en Windows Server 2003 Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 cuando se instala en Windows Server 2003 x64 Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 cuando se instala en Windows Server 2003 con SP2 para sistemas basados en Itanium | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 cuando se instala en Windows Vista Service Pack 1 y Windows Vista Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 cuando se instala en Windows Vista x64 Edition Service Pack 1 y Windows Vista x64 Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 cuando se instala en Windows Server 2008 para sistemas de 32 bits y Windows Server 2008 para sistemas de 32 bits Service Pack 2** | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 cuando se instala en Windows Server 2008 para sistemas basados en x64 y Windows Server 2008 para sistemas basados en x64 Service Pack 2** | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5 Service Pack 1 cuando se instala en Windows Server 2008 para sistemas basados en Itanium y Windows Server 2008 para sistemas basados en Itanium Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5.1 | ||
Microsoft .NET Framework 3.5.1 en Windows 7 para sistemas de 32 bits | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5.1 en Windows 7 para sistemas basados en x64 | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5.1 en Windows Server 2008 R2 para sistemas basados en x64* | Divulgación de información importante | Importante |
Microsoft .NET Framework 3.5.1 en Windows Server 2008 R2 para sistemas basados en Itanium | Divulgación de información importante | Importante |
Microsoft .NET Framework 4.0 | ||
Microsoft .NET Framework 4.0 en Windows XP Service Pack 3 | Divulgación de información importante | Importante |
Microsoft .NET Framework 4.0 en Windows XP Professional x64 Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 4.0 en Windows Server 2003 Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 4.0 en Windows Server 2003 x64 Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 4.0 en Windows Server 2003 con SP2 para sistemas basados en Itanium | Divulgación de información importante | Importante |
Microsoft .NET Framework 4.0 en Windows Vista Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 4.0 en Windows Vista x64 Edition Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 4.0 en Windows Server 2008 para sistemas de 32 bits Service Pack 2** | Divulgación de información importante | Importante |
Microsoft .NET Framework 4.0 en Windows Server 2008 para sistemas basados en x64 Service Pack 2** | Divulgación de información importante | Importante |
Microsoft .NET Framework 4.0 en Windows Server 2008 para sistemas basados en Itanium Service Pack 2 | Divulgación de información importante | Importante |
Microsoft .NET Framework 4.0 en Windows 7 para sistemas de 32 bits y Windows 7 para sistemas de 32 bits Service Pack 1 | Divulgación de información importante | Importante |
Microsoft .NET Framework 4.0 en Windows 7 para sistemas basados en x64 y Windows 7 para sistemas basados en x64 Service Pack 1 | Divulgación de información importante | Importante |
Microsoft .NET Framework 4.0 en Windows Server 2008 R2 para sistemas basados en x64 | Divulgación de información importante | Importante |
Microsoft .NET Framework 4.0 en Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1* | Divulgación de información importante | Importante |
Microsoft .NET Framework 4.0 en Windows Server 2008 R2 para sistemas basados en Itanium y Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 | Divulgación de información importante | Importante |
*Instalación de Server Core afectada. Esta actualización se aplica, con la misma clasificación de gravedad, a las ediciones compatibles de Windows Server 2008 o Windows Server 2008 R2 tal como se indica, independientemente de si se instalan o no mediante la opción de instalación Server Core. Para obtener más información sobre esta opción de instalación, consulte los artículos de TechNet, Administración de una instalación principal del servidor y mantenimiento de una instalación de Server Core. Tenga en cuenta que la opción de instalación Server Core no se aplica a determinadas ediciones de Windows Server 2008 y Windows Server 2008 R2; consulte Comparación de las opciones de instalación de Server Core.
**Instalación de Server Core no afectada. Las vulnerabilidades abordadas por esta actualización no afectan a las ediciones admitidas de Windows Server 2008 o Windows Server 2008 R2, como se indica, cuando se instala mediante la opción de instalación Server Core. Para obtener más información sobre esta opción de instalación, consulte los artículos de TechNet, Administración de una instalación principal del servidor y mantenimiento de una instalación de Server Core. Tenga en cuenta que la opción de instalación Server Core no se aplica a determinadas ediciones de Windows Server 2008 y Windows Server 2008 R2; consulte Comparación de las opciones de instalación de Server Core.
ASP.NET vulnerabilidad de Oracle de relleno: CVE-2010-3332
Existe una vulnerabilidad de divulgación de información en ASP.NET debido a un control incorrecto de errores durante la comprobación del espaciado de cifrado. Un atacante que aprovechara correctamente esta vulnerabilidad podría leer datos, como el estado de vista, que el servidor cifró. Esta vulnerabilidad también se puede usar para la manipulación de datos, que, si se aprovecha correctamente, podría usarse para descifrar y manipular los datos cifrados por el servidor. Tenga en cuenta que esta vulnerabilidad no permitiría a un atacante ejecutar código o elevar directamente sus derechos de usuario, pero podría usarse para generar información que podría usarse para intentar poner en peligro aún más el sistema afectado. En Microsoft .NET Framework 3.5 Service Pack 1 y versiones posteriores, un atacante también puede usar esta vulnerabilidad para recuperar el contenido de cualquier archivo dentro de la aplicación ASP.NET, incluido web.config.
Para ver esta vulnerabilidad como entrada estándar en la lista Vulnerabilidades comunes y exposiciones, consulte CVE-2010-3332.
Mitigación de factores para ASP.NET vulnerabilidad de Oracle de relleno: CVE-2010-3332
La mitigación hace referencia a una configuración, configuración común o procedimiento recomendado general, existente en un estado predeterminado, que podría reducir la gravedad de la explotación de una vulnerabilidad. Los siguientes factores de mitigación pueden ser útiles en su situación:
- Las versiones de Microsoft .NET Framework anteriores a Microsoft .NET Framework 3.5 Service Pack 1 no se ven afectadas por la parte de divulgación de contenido del archivo de esta vulnerabilidad.
Soluciones alternativas para ASP.NET vulnerabilidad de Oracle de relleno: CVE-2010-3332
La solución alternativa hace referencia a un cambio de configuración o configuración que no corrige la vulnerabilidad subyacente, pero podría ayudar a bloquear los vectores de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las siguientes soluciones alternativas y estados en la discusión si una solución alternativa reduce la funcionalidad:
Habilite una regla de filtrado de urlScan o solicitud, habilite ASP.NET errores personalizados y asigne todos los códigos de error a la misma página de error.
Habilitar la característica customErrors de ASP.NET y configurar explícitamente las aplicaciones para devolver siempre la misma página de error, independientemente del error encontrado en el servidor, puede dificultar que un atacante use la vulnerabilidad actual para distinguir entre los distintos tipos de errores que se producen en un servidor.
En los sistemas que usan .NET Framework versión 3.5 Service Pack 1 y versiones posteriores, la solución alternativa proporciona más protección al ayudar a protegerse contra la parte de ataque de control de tiempo de la vulnerabilidad actual. La solución alternativa usa la opción redirectMode="ResponseRewrite" en la característica customErrors e introduce un retraso aleatorio en la página de error. Estos enfoques funcionan conjuntamente para que sea más difícil que un atacante deduce el tipo de error que se produjo en el servidor midiendo el tiempo necesario para recibir el error.
Además, esta solución alternativa requiere solicitudes de bloqueo que especifican la ruta de acceso de error de la aplicación en la cadena de consulta. Esto se puede hacer mediante URLScan, una herramienta gratuita para Internet Information Services (IIS) que puede bloquear selectivamente las solicitudes en función de las reglas definidas por el administrador. Si el sistema ejecuta Internet Information Services (IIS) en Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 o Windows Server 2008 R2, también puede usar la característica Filtrado de solicitudes.
Bloquear solicitudes que modifican ASP.Net ruta de acceso de error de la aplicación en la cadena de consultas de solicitud
Uso de UrlScan:
Descargue e instale UrlScan 3.1. Para obtener más instrucciones sobre cómo configurar y usar UrlScan, consulte Referencia de UrlScan 3.
Modifique UrlScan.ini (se encuentra en %windir%\system32\inetsrv\urlscan). Inserte la línea siguiente en la sección [DenyQueryStringSequences] del archivo Urlscan.ini:
aspxerrorpath=
Después de hacerlo, la sección [DenyQueryStringSequences] debe ser similar a esta (las líneas adicionales de la sección están bien y no afectan a la solución alternativa):
[DenyQueryStringSequences] aspxerrorpath=
- Ejecute iisreset desde un símbolo del sistema mientras inició sesión como administrador.
Uso del filtrado de solicitudes de IIS:
Estas instrucciones son una alternativa para las instrucciones de UrlScan anteriores para los sistemas que ejecutan IIS en Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 o Windows Server 2008 R2.
Instale la característica Filtrado de solicitudes en IIS a través de Agregar o quitar programas o administrador de roles seleccionando la característica en Internet Information Services, World Wide Web Services, Security.
Inicie el Administrador de Internet Information Services (IIS).
Seleccione el nodo de servidor en el panel izquierdo.
Haga doble clic en Filtrado de solicitudes.
Seleccione la pestaña Cadenas de consulta y haga clic en Denegar cadena de consulta ... en el panel Acciones .
Escriba aspxerrorpath= en el cuadro de diálogo y seleccione Aceptar.
Como alternativa, también puede usar el siguiente comando appcmd para establecer esta cadena de consulta de solicitud:
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']
Para obtener más información sobre el uso de appcmd para configurar IIS, consulte Introducción a AppCmd.exe.
Configuración de aplicaciones de ASP.Net para usar errores personalizados uniformes
En la carpeta raíz de cada aplicación web de ASP.NET, determine si ya tiene un archivo web.config en esta carpeta. Debe tener derechos para crear un archivo en el directorio de destino para implementar esta solución alternativa.
Si la aplicación ASP.NET no tiene un archivo web.config:
En .NET Framework 3.5 y versiones anteriores
- Cree un archivo de texto denominado web.config en la carpeta raíz de la aplicación ASP.NET e inserte el siguiente contenido:
<configuration>
2. Create a text file named **error.html** containing a generic error message and save it in the root folder of the ASP.NET application.
3. Alternatively, you can rename error.html in the **web.config** file to point to an existing error page, but that page must display generic content, not context-specific content.
**On .NET Framework 3.5 Service Pack 1 and later**
1. Create a text file named **web.config** in the root folder of the ASP.NET application, and insert the following contents:
```
<configuration>
```
2. If you are comfortable using C\#, we recommend using the following **ErrorPage.aspx** file:
```
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
```
```
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
```
```
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "https://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
```
```
<html xmlns="https://www.w3.org/1999/xhtml">