Buletin Keamanan
Buletin Keamanan Microsoft MS10-070 - Penting
Kerentanan dalam ASP.NET Dapat Memungkinkan Pengungkapan Informasi (2418042)
Diterbitkan: 28 September 2010 | Diperbarui: 26 Oktober 2011
Versi: 4.2
Informasi Umum
Ringkasan Eksekutif
Pembaruan keamanan ini menyelesaikan kerentanan yang diungkapkan secara publik dalam ASP.NET. Kerentanan dapat memungkinkan pengungkapan informasi. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat membaca data, seperti status tampilan, yang dienkripsi oleh server. Kerentanan ini juga dapat digunakan untuk perubahan data, yang, jika berhasil dieksploitasi, dapat digunakan untuk mendekripsi dan mengubah data yang dienkripsi oleh server. Versi Microsoft .NET Framework sebelum Microsoft .NET Framework 3.5 Service Pack 1 tidak terpengaruh oleh bagian pengungkapan konten file dari kerentanan ini.
Pembaruan keamanan ini dinilai Penting untuk semua edisi ASP.NET yang didukung kecuali Microsoft .NET Framework 1.0 Service Pack 3. Untuk informasi selengkapnya, lihat subbagian, Perangkat Lunak Yang Terpengaruh dan Tidak Terpengaruh, di bagian ini.
Pembaruan keamanan mengatasi kerentanan dengan juga menandatangani semua data yang dienkripsi oleh ASP.NET. Untuk informasi selengkapnya tentang kerentanan, lihat subbagian Tanya Jawab Umum (FAQ) untuk entri kerentanan tertentu di bawah bagian berikutnya, Informasi Kerentanan.
Pembaruan keamanan ini juga membahas kerentanan yang pertama kali dijelaskan dalam 2416728 Microsoft Security Advisory.
Rekomendasi. Microsoft menyarankan agar pelanggan menerapkan pembaruan pada kesempatan paling awal.
Lihat juga bagian, Alat dan Panduan Deteksi dan Penyebaran, nanti di buletin ini.
Masalah yang diketahui.Artikel Pangkalan Pengetahuan Microsoft 2418042 dokumen masalah yang saat ini diketahui yang mungkin dialami pelanggan saat menginstal pembaruan keamanan ini. Artikel ini juga mendanai solusi yang direkomendasikan untuk masalah ini.
Perangkat Lunak yang Terpengaruh dan Tidak Terpengaruh
Perangkat lunak berikut telah diuji untuk menentukan versi atau edisi mana yang terpengaruh. Versi atau edisi lain melewati siklus hidup dukungan mereka atau tidak terpengaruh. Untuk menentukan siklus hidup dukungan untuk versi atau edisi perangkat lunak Anda, kunjungi Siklus Hidup Dukungan Microsoft.
Perangkat Lunak yang Terpengaruh
*Penginstalan Inti Server terpengaruh. Pembaruan ini berlaku, dengan peringkat tingkat keparahan yang sama, ke edisi Windows Server 2008 R2 yang didukung seperti yang ditunjukkan, baik diinstal menggunakan opsi penginstalan Server Core atau tidak. Untuk informasi selengkapnya tentang opsi penginstalan ini, lihat artikel TechNet, Mengelola Penginstalan Inti Server dan Melayani Penginstalan Inti Server. Perhatikan bahwa opsi penginstalan Server Core tidak berlaku untuk edisi Windows Server 2008 dan Windows Server 2008 R2 tertentu; lihat Membandingkan Opsi Penginstalan Inti Server.
**Penginstalan Inti Server tidak terpengaruh. Kerentanan yang ditangani oleh pembaruan ini tidak memengaruhi edisi Windows Server 2008 yang didukung seperti yang ditunjukkan, ketika diinstal menggunakan opsi penginstalan Server Core. Untuk informasi selengkapnya tentang opsi penginstalan ini, lihat artikel TechNet, Mengelola Penginstalan Inti Server dan Melayani Penginstalan Inti Server. Perhatikan bahwa opsi penginstalan Server Core tidak berlaku untuk edisi Windows Server 2008 dan Windows Server 2008 R2 tertentu; lihat Membandingkan Opsi Penginstalan Inti Server.
[1]. Profil Klien NET Framework 4.0 tidak terpengaruh. Paket .NET Framework versi 4 yang dapat didistribusikan ulang tersedia dalam dua profil: .NET Framework 4.0 dan Profil Klien .NET Framework 4.0. Profil Klien .NET Framework 4.0 adalah subset dari .NET Framework 4.0. Kerentanan yang ditangani dalam pembaruan ini hanya memengaruhi .NET Framework 4.0 dan bukan Profil Klien .NET Framework 4.0. Untuk informasi selengkapnya, lihat: Menginstal .NET Framework.
Perangkat Lunak Yang Tidak Terpengaruh
Sistem Operasi | Komponen |
---|---|
Microsoft .NET Framework 1.0 Service Pack 3 | |
Windows XP Service Pack 3 | Microsoft .NET Framework 1.0 Service Pack 3 (Hanya Windows XP Media Center Edition 2005 dan Windows XP Tablet PC Edition 2005) |
Microsoft .NET Framework 3.5.1 | |
Windows 7 untuk Paket Layanan Sistem 32-bit 1 | Microsoft .NET Framework 3.5.1 |
Windows 7 untuk Paket Layanan Sistem berbasis x64 1 | Microsoft .NET Framework 3.5.1 |
Windows Server 2008 R2 untuk Paket Layanan Sistem berbasis x64 1 | Microsoft .NET Framework 3.5.1 |
Windows Server 2008 R2 untuk Paket Layanan Sistem berbasis Itanium 1 | Microsoft .NET Framework 3.5.1 |
Tanya Jawab Umum (FAQ) Terkait Pembaruan Keamanan Ini
Mengapa buletin ini direvisi pada 22 Februari 2011?
Microsoft merevisi buletin keamanan ini untuk mengumumkan perubahan deteksi untuk menawarkan paket pembaruan Microsoft .NET Framework 4.0 (KB2416472) ke sistem yang menjalankan Windows 7 untuk Paket Layanan Sistem 32-bit 1, Windows 7 untuk Sistem berbasis x64 Paket Layanan 1, Windows Server 2008 R2 untuk Paket Layanan Sistem berbasis x64 1, dan Windows Server 2008 R2 untuk Paket Layanan Sistem berbasis Itanium 1. Perubahan deteksi ini hanya berlaku untuk pelanggan yang menginstal Microsoft .NET Framework 4.0 setelah menginstal Windows 7 untuk Paket Layanan Sistem 32-bit 1, Windows 7 untuk Paket Layanan Sistem berbasis x64 1, Windows Server 2008 R2 untuk Paket Layanan Sistem berbasis x64 1, atau Windows Server 2008 R2 untuk Paket Layanan Sistem berbasis Itanium 1. Pelanggan yang telah berhasil memperbarui sistem mereka tidak perlu mengambil tindakan apa pun.
Mengapa buletin ini direvisi pada 14 Desember 2010?
Microsoft merevisi buletin keamanan ini untuk mengumumkan bahwa paket pembaruan baru tersedia untuk Microsoft .NET Framework 4.0 (KB2416472). Paket baru ini memperbaiki masalah dalam penyiapan yang dapat mengganggu keberhasilan penginstalan pembaruan lain. Untuk pelanggan yang mungkin memiliki penginstalan produk atau pembaruan lain yang mungkin terpengaruh oleh masalah ini, silakan lihat Artikel Pangkalan Pengetahuan Microsoft 2473228 untuk informasi tambahan. Pelanggan yang telah berhasil memperbarui sistem mereka tidak perlu mengambil tindakan apa pun.
Saya telah menginstal .NET Framework 3.0 Service Pack 2; versi ini tidak tercantum di antara perangkat lunak yang terpengaruh dalam buletin ini. Apakah saya perlu menginstal pembaruan?
Buletin ini menjelaskan kerentanan di lapisan fitur .NET Framework 2.0 dan .NET Framework 3.5. Rantai penginstal .NET Framework 3.0 Service Pack 2 dalam pengaturan .NET Framework 2.0 Service Pack 2, jadi menginstal yang pertama juga menginstal yang terakhir. Oleh karena itu, pelanggan yang telah menginstal .NET Framework 3.0 Service Pack 2 perlu menginstal pembaruan keamanan untuk .NET Framework 2.0 Service Pack 2.
Saya telah menginstal .NET Framework 3.5. Apakah saya perlu menginstal pembaruan tambahan?
Buletin ini menjelaskan kerentanan di lapisan fitur .NET Framework 2.0 dan .NET Framework 3.5. Rantai penginstal .NET Framework 3.5 di pengaturan .NET Framework 2.0 Service Pack 1 dan penyiapan .NET Framework 3.0 Service Pack 1. Oleh karena itu, pelanggan yang telah menginstal .NET Framework 3.5 juga perlu menginstal pembaruan keamanan untuk .NET Framework 2.0 Service Pack 1 selain pembaruan untuk .NET Framework 3.5.
Untuk membantu menentukan apakah ada versi tambahan dari .NET Framework yang diinstal pada sistem Anda, lihat entri FAQ, "Bagaimana cara menentukan versi Microsoft .NET Framework mana yang diinstal," nanti di bagian ini.
Saya telah menginstal .NET Framework 3.5 Service Pack 1. Apakah saya perlu menginstal pembaruan tambahan?
Buletin ini menjelaskan kerentanan di lapisan fitur .NET Framework 2.0 dan .NET Framework 3.5. Rantai penginstal .NET Framework 3.5 Service Pack 1 dalam pengaturan .NET Framework 2.0 Service Pack 2 dan pengaturan .NET Framework 3.0 Service Pack 2. Oleh karena itu, pelanggan yang telah menginstal .NET Framework 3.5 Service Pack 1 juga perlu menginstal pembaruan keamanan untuk .NET Framework 2.0 Service Pack 2.
Untuk membantu menentukan apakah ada versi tambahan dari .NET Framework yang diinstal pada sistem Anda, lihat entri FAQ, "Bagaimana cara menentukan versi Microsoft .NET Framework mana yang diinstal," nanti di bagian ini.
Mengapa buletin ini direvisi pada 30 September 2010?
Microsoft merevisi buletin ini untuk mengumumkan bahwa pembaruan sekarang tersedia melalui semua saluran distribusi, termasuk Microsoft Update dan Windows Update. Selain itu, klarifikasi dan koreksi berikut juga disertakan dalam revisi ini:
- Lakukan koreksi berikut pada tabel Perangkat Lunak yang Terpengaruh:
- Deskripsi buletin untuk pembaruan KB2418241 dikoreksi untuk menyertakan .NET Framework 3.5 Service Pack 1 pada sistem Windows XP dan Windows Server 2003. Ini hanya perubahan buletin. Pelanggan yang berhasil menginstal pembaruan KB2418241 tidak perlu menginstal ulang. Pelanggan yang menjalankan .NET Framework 3.5 Service Pack 1 pada sistem Windows XP atau Windows Server 2003 yang belum menginstal pembaruan KB2418241 harus menerapkan pembaruan pada kesempatan paling awal, bahkan jika mereka telah menerapkan pembaruan KB2416473 untuk Paket Layanan .NET Framework 3.5 1. Pelanggan harus menerapkan semua pembaruan yang ditawarkan untuk perangkat lunak yang diinstal pada sistem mereka.
- Deskripsi buletin untuk pembaruan KB2416474 diperbaiki untuk menyertakan .NET Framework 3.5 Service Pack 1 pada sistem Windows Vista dan Windows Server 2008. Ini hanya perubahan buletin. Pelanggan yang telah berhasil menginstal pembaruan KB2416474 tidak perlu menginstal ulang. Pelanggan yang menjalankan .NET Framework 3.5 Service Pack 1 pada sistem Windows Vista atau Windows Server 2008 yang belum menginstal pembaruan KB2416474 harus menerapkan pembaruan pada kesempatan paling awal, bahkan jika mereka telah menerapkan pembaruan KB2416473 untuk Paket Layanan .NET Framework 3.5 1. Pelanggan harus menerapkan semua pembaruan yang ditawarkan untuk perangkat lunak yang diinstal pada sistem mereka.
- Deskripsi buletin untuk pembaruan KB2416470 dikoreksi untuk menyertakan microsoft .NET Framework 3.5 dan Microsoft .NET Framework 3.5 Service Pack 1 pada sistem Windows Vista dan Windows Server 2008. Ini hanya perubahan buletin. Pelanggan yang berhasil menginstal pembaruan KB2416470 tidak perlu menginstal ulang. Pelanggan yang menjalankan sistem .NET Framework 3.5 dan Microsoft .NET Framework 3.5 Service Pack 1 pada sistem Windows Vista atau Windows Server 2008 yang belum menginstal pembaruan KB2416470 harus menerapkan pembaruan pada kesempatan paling awal, bahkan jika mereka telah menerapkan pembaruan KB2418240 untuk .NET Framework 3.5 dan memperbarui KB2416473 untuk Paket Layanan .NET Framework 3.5 1. Pelanggan harus menerapkan semua pembaruan yang ditawarkan untuk perangkat lunak yang diinstal pada sistem mereka.
- Pembaruan KB2418240 terdaftar sebagai pembaruan tambahan untuk sistem .NET Framework 3.5 untuk Windows XP, Windows Server 2003, Windows Vista Service Pack 1, dan Windows Server 2008. Ini hanya perubahan buletin. Pelanggan yang telah berhasil menginstal pembaruan KB2418240 tidak perlu menginstal ulang. Pelanggan yang menjalankan sistem .NET Framework 3.5 di Windows XP, Windows Server 2003, Windows Vista, dan Windows Server 2008 yang belum menginstal pembaruan KB2418240 harus menerapkan pembaruan pada kesempatan paling awal, bahkan jika mereka telah menerapkan pembaruan yang berbeda untuk .NET Framework 3.5. Pelanggan harus menerapkan semua pembaruan yang ditawarkan untuk perangkat lunak yang diinstal pada sistem mereka.
- Menambahkan FAQ, "Bagaimana cara menentukan versi Microsoft .NET Framework mana yang diinstal?" di bagian ini.
- Menambahkan FAQ, "Ada dua pembaruan yang tercantum untuk versi Microsoft .NET Framework yang diinstal pada sistem saya. Apakah saya perlu menginstal kedua pembaruan?" di bagian ini.
- Menambahkan FAQ, "Apakah saya perlu menginstal pembaruan keamanan ini dalam urutan tertentu?" di bagian ini.
Bagaimana cara menentukan versi Microsoft .NET Framework mana yang diinstal?
Anda dapat menginstal dan menjalankan beberapa versi .NET Framework pada sistem, dan Anda dapat menginstal versi dalam urutan apa pun. Ada beberapa cara untuk menentukan versi .NET Framework mana yang saat ini diinstal. Untuk informasi selengkapnya, lihat Artikel Pangkalan Pengetahuan Microsoft 318785.
Ada dua pembaruan yang tercantum untuk versi Microsoft .NET Framework yang diinstal pada sistem saya. Apakah saya perlu menginstal kedua pembaruan?
Ya. Pelanggan harus menerapkan semua pembaruan yang ditawarkan untuk perangkat lunak yang diinstal pada sistem mereka.
Apakah saya perlu menginstal pembaruan keamanan ini dalam urutan tertentu?
Tidak. Beberapa pembaruan untuk satu versi .NET Framework dapat diterapkan dalam urutan apa pun. Sebaiknya beberapa pembaruan untuk versi .NET Framework yang berbeda diterapkan secara berurutan dari nomor versi terendah ke tertinggi, namun urutan tersebut tidak diperlukan.
Di mana detail informasi file?
Lihat tabel referensi di bagian Penyebaran Pembaruan Keamanan untuk lokasi detail informasi file.
Saya menggunakan rilis lama perangkat lunak yang dibahas dalam buletin keamanan ini. Apa yang harus saya lakukan?
Perangkat lunak yang terpengaruh yang tercantum dalam buletin ini telah diuji untuk menentukan rilis mana yang terpengaruh. Rilis lain melewati siklus hidup dukungan mereka. Untuk informasi selengkapnya tentang siklus hidup produk, kunjungi situs Web Siklus Hidup Dukungan Microsoft.
Ini harus menjadi prioritas bagi pelanggan yang memiliki rilis perangkat lunak yang lebih lama untuk bermigrasi ke rilis yang didukung untuk mencegah potensi paparan kerentanan. Untuk menentukan siklus hidup dukungan untuk rilis perangkat lunak Anda, lihat Memilih Informasi Produk untuk Siklus Hidup. Untuk informasi selengkapnya tentang paket layanan untuk rilis perangkat lunak ini, lihat Paket Layanan yang Didukung Siklus Hidup.
Pelanggan yang memerlukan dukungan kustom untuk perangkat lunak yang lebih lama harus menghubungi perwakilan tim akun Microsoft mereka, Manajer Akun Teknis mereka, atau perwakilan mitra Microsoft yang sesuai untuk opsi dukungan kustom. Pelanggan tanpa Aliansi, Premier, atau Kontrak Resmi dapat menghubungi kantor penjualan Microsoft lokal mereka. Untuk informasi kontak, kunjungi situs Web Informasi Microsoft Di Seluruh Dunia, pilih negara di daftar Informasi Kontak, lalu klik Buka untuk melihat daftar nomor telepon. Saat Anda menelepon, minta untuk berbicara dengan manajer penjualan Dukungan Premier lokal. Untuk informasi selengkapnya, lihat Tanya Jawab Umum Kebijakan Siklus Hidup Dukungan Microsoft.
Informasi Kerentanan
Peringkat Tingkat Keparahan dan Pengidentifikasi Kerentanan
Peringkat tingkat keparahan berikut mengasumsikan potensi dampak maksimum dari kerentanan. Untuk informasi mengenai kemungkinan, dalam waktu 30 hari sejak rilis buletin keamanan ini, tentang eksploitasi kerentanan sehubungan dengan peringkat tingkat keparahan dan dampak keamanannya, silakan lihat Indeks Eksploitasi dalam ringkasan buletin September. Untuk informasi selengkapnya, lihat Indeks Eksploitasi Microsoft.
Perangkat Lunak yang Terpengaruh | ASP.NET Kerentanan Oracle Padding - CVE-2010-3332 | Peringkat Tingkat Keparahan Agregat |
---|---|---|
Microsoft .NET Framework 1.1 Paket Layanan 1 | ||
Microsoft .NET Framework 1.1 Service Pack 1 saat diinstal pada Windows XP Service Pack 3 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 1.1 Service Pack 1 saat diinstal pada Windows XP Professional x64 Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 1.1 Service Pack 1 di Windows Server 2003 Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 1.1 Service Pack 1 saat diinstal pada Windows Server 2003 x64 Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 1.1 Service Pack 1 saat diinstal pada Windows Server 2003 Itanium-based Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 1.1 Service Pack 1 saat diinstal pada Windows Vista Service Pack 1 dan Windows Vista Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 1.1 Service Pack 1 saat diinstal pada Windows Vista x64 Edition Service Pack 1 dan Windows Vista x64 Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 1.1 Service Pack 1 saat diinstal pada Windows Server 2008 untuk Sistem 32-bit dan Windows Server 2008 untuk Paket Layanan Sistem 32-bit 2** | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 1.1 Service Pack 1 saat diinstal pada Windows Server 2008 untuk Sistem berbasis x64 dan Windows Server 2008 untuk Paket Layanan Sistem berbasis x64 2** | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 1.1 Service Pack 1 saat diinstal pada Windows Server 2008 untuk Sistem berbasis Itanium dan Windows Server 2008 untuk Paket Layanan Sistem berbasis Itanium 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 2.0 Service Pack 1 | ||
Microsoft .NET Framework 2.0 Service Pack 1 pada Windows Vista Service Pack 1 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 2.0 Service Pack 1 pada Windows Vista x64 Edition Service Pack 1 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 2.0 Service Pack 1 di Windows Server 2008 untuk Sistem 32-bit** | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 2.0 Service Pack 1 di Windows Server 2008 untuk Sistem berbasis x64** | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 2.0 Service Pack 1 di Windows Server 2008 untuk Sistem berbasis Itanium | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 2.0 Service Pack 2 | ||
Microsoft .NET Framework 2.0 Service Pack 2 saat diinstal pada Windows XP Service Pack 3 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 2.0 Service Pack 2 saat diinstal pada Windows XP Professional x64 Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 2.0 Service Pack 2 saat diinstal pada Windows Server 2003 Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 2.0 Service Pack 2 saat diinstal pada Windows Server 2003 x64 Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 2.0 Service Pack 2 saat diinstal pada Windows Server 2003 dengan SP2 untuk Sistem berbasis Itanium | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 2.0 Service Pack 2 di Windows Vista Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 2.0 Service Pack 2 di Windows Vista x64 Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 2.0 Service Pack 2 di Windows Server 2008 untuk Paket Layanan Sistem 32-bit 2** | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 2.0 Service Pack 2 di Windows Server 2008 untuk Paket Layanan Sistem berbasis x64 2** | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 2.0 Service Pack 2 di Windows Server 2008 untuk Paket Layanan Sistem berbasis Itanium 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 | ||
Microsoft .NET Framework 3.5 saat diinstal pada Windows XP Service Pack 3 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 saat diinstal pada Windows XP Professional x64 Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 saat diinstal pada Windows Server 2003 Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 saat diinstal pada Windows Server 2003 x64 Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 saat diinstal pada Windows Server 2003 dengan SP2 untuk Sistem berbasis Itanium | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 saat diinstal pada Windows Vista Service Pack 1 dan Windows Vista Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 saat diinstal pada Windows Vista x64 Edition Service Pack 1 dan Windows Vista x64 Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 saat diinstal pada Windows Server 2008 untuk Sistem 32-bit** | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 saat diinstal pada Windows Server 2008 untuk Sistem berbasis x64** | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 saat diinstal pada Windows Server 2008 untuk Sistem berbasis Itanium | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 Service Pack 1 | ||
Microsoft .NET Framework 3.5 Service Pack 1 saat diinstal pada Windows XP Service Pack 3 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 Service Pack 1 saat diinstal pada Windows XP Professional x64 Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 Service Pack 1 saat diinstal pada Windows Server 2003 Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 Service Pack 1 saat diinstal pada Windows Server 2003 x64 Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 Service Pack 1 saat diinstal pada Windows Server 2003 dengan SP2 untuk Sistem berbasis Itanium | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 Service Pack 1 saat diinstal pada Windows Vista Service Pack 1 dan Windows Vista Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 Service Pack 1 saat diinstal pada Windows Vista x64 Edition Service Pack 1 dan Windows Vista x64 Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 Service Pack 1 saat diinstal pada Windows Server 2008 untuk Sistem 32-bit dan Windows Server 2008 untuk Paket Layanan Sistem 32-bit 2** | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 Service Pack 1 saat diinstal pada Windows Server 2008 untuk Sistem berbasis x64 dan Windows Server 2008 untuk Paket Layanan Sistem berbasis x64 2** | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5 Service Pack 1 saat diinstal pada Windows Server 2008 untuk Sistem berbasis Itanium dan Windows Server 2008 untuk Paket Layanan Sistem berbasis Itanium 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5.1 | ||
Microsoft .NET Framework 3.5.1 di Windows 7 untuk Sistem 32-bit | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5.1 di Windows 7 untuk Sistem berbasis x64 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5.1 di Windows Server 2008 R2 untuk Sistem berbasis x64* | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 3.5.1 di Windows Server 2008 R2 untuk Sistem berbasis Itanium | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 4.0 | ||
Microsoft .NET Framework 4.0 di Windows XP Service Pack 3 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 4.0 di Windows XP Professional x64 Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 4.0 di Windows Server 2003 Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 4.0 di Windows Server 2003 x64 Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 4.0 di Windows Server 2003 dengan SP2 untuk Sistem berbasis Itanium | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 4.0 di Windows Vista Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 4.0 di Windows Vista x64 Edition Service Pack 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 4.0 di Windows Server 2008 untuk Paket Layanan Sistem 32-bit 2** | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 4.0 di Windows Server 2008 untuk Paket Layanan Sistem berbasis x64 2** | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 4.0 di Windows Server 2008 untuk Paket Layanan Sistem berbasis Itanium 2 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 4.0 di Windows 7 untuk Sistem 32-bit dan Windows 7 untuk Paket Layanan Sistem 32-bit 1 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 4.0 di Windows 7 untuk Sistem berbasis x64 dan Windows 7 untuk Paket Layanan Sistem berbasis x64 1 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 4.0 di Windows Server 2008 R2 untuk Sistem berbasis x64 | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 4.0 di Windows Server 2008 R2 untuk Paket Layanan Sistem berbasis x64 1* | Pengungkapan Informasi Penting | Penting |
Microsoft .NET Framework 4.0 di Windows Server 2008 R2 untuk Sistem berbasis Itanium dan Windows Server 2008 R2 untuk Paket Layanan Sistem berbasis Itanium 1 | Pengungkapan Informasi Penting | Penting |
*Penginstalan Inti Server terpengaruh. Pembaruan ini berlaku, dengan peringkat tingkat keparahan yang sama, untuk edisi Windows Server 2008 atau Windows Server 2008 R2 yang didukung seperti yang ditunjukkan, baik diinstal menggunakan opsi penginstalan Server Core atau tidak. Untuk informasi selengkapnya tentang opsi penginstalan ini, lihat artikel TechNet, Mengelola Penginstalan Inti Server dan Melayani Penginstalan Inti Server. Perhatikan bahwa opsi penginstalan Server Core tidak berlaku untuk edisi Windows Server 2008 dan Windows Server 2008 R2 tertentu; lihat Membandingkan Opsi Penginstalan Inti Server.
**Penginstalan Inti Server tidak terpengaruh. Kerentanan yang ditangani oleh pembaruan ini tidak memengaruhi edisi Windows Server 2008 atau Windows Server 2008 R2 yang didukung seperti yang ditunjukkan, ketika diinstal menggunakan opsi penginstalan Server Core. Untuk informasi selengkapnya tentang opsi penginstalan ini, lihat artikel TechNet, Mengelola Penginstalan Inti Server dan Melayani Penginstalan Inti Server. Perhatikan bahwa opsi penginstalan Server Core tidak berlaku untuk edisi Windows Server 2008 dan Windows Server 2008 R2 tertentu; lihat Membandingkan Opsi Penginstalan Inti Server.
ASP.NET Kerentanan Oracle Padding - CVE-2010-3332
Kerentanan pengungkapan informasi ada di ASP.NET karena penanganan kesalahan yang tidak tepat selama verifikasi padding enkripsi. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat membaca data, seperti status tampilan, yang dienkripsi oleh server. Kerentanan ini juga dapat digunakan untuk perubahan data, yang, jika berhasil dieksploitasi, dapat digunakan untuk mendekripsi dan mengubah data yang dienkripsi oleh server. Perhatikan bahwa kerentanan ini tidak akan memungkinkan penyerang untuk mengeksekusi kode atau meningkatkan hak pengguna mereka secara langsung, tetapi dapat digunakan untuk menghasilkan informasi yang dapat digunakan untuk mencoba lebih membahayakan sistem yang terpengaruh. Di Microsoft .NET Framework 3.5 Service Pack 1 ke atas, kerentanan ini juga dapat digunakan oleh penyerang untuk mengambil konten file apa pun dalam aplikasi ASP.NET, termasuk web.config.
Untuk melihat kerentanan ini sebagai entri standar dalam daftar Kerentanan dan Paparan Umum, lihat CVE-2010-3332.
Faktor Mitigasi untuk Kerentanan Oracle Padding ASP.NET - CVE-2010-3332
Mitigasi mengacu pada pengaturan, konfigurasi umum, atau praktik terbaik umum, yang ada dalam keadaan default, yang dapat mengurangi tingkat keparahan eksploitasi kerentanan. Faktor-faktor mitigasi berikut mungkin berguna dalam situasi Anda:
- Versi Microsoft .NET Framework sebelum Microsoft .NET Framework 3.5 Service Pack 1 tidak terpengaruh oleh bagian pengungkapan konten file dari kerentanan ini.
Solusi untuk ASP.NET Kerentanan Oracle Padding - CVE-2010-3332
Penanganan masalah mengacu pada pengaturan atau perubahan konfigurasi yang tidak memperbaiki kerentanan yang mendasar tetapi akan membantu memblokir vektor serangan yang diketahui sebelum Anda menerapkan pembaruan. Microsoft telah menguji solusi dan status berikut dalam diskusi apakah solusi mengurangi fungsionalitas:
Aktifkan aturan UrlScan atau Pemfilteran Permintaan, aktifkan kesalahan kustom ASP.NET, dan petakan semua kode kesalahan ke halaman kesalahan yang sama
Mengaktifkan fitur customErrors dari ASP.NET dan secara eksplisit mengonfigurasi aplikasi untuk selalu mengembalikan halaman kesalahan yang sama, terlepas dari kesalahan yang ditemui di server, dapat membuatnya lebih sulit bagi penyerang menggunakan eksploitasi saat ini untuk membedakan antara berbagai jenis kesalahan yang terjadi di server.
Pada sistem yang menggunakan .NET Framework versi 3.5 Service Pack 1 ke atas, solusinya memberikan perlindungan lebih lanjut dengan juga membantu melindungi dari bagian serangan waktu eksploitasi saat ini. Solusinya menggunakan opsi redirectMode="ResponseRewrite" di fitur customErrors, dan memperkenalkan penundaan acak di halaman kesalahan. Pendekatan ini bekerja sama untuk membuatnya lebih sulit bagi penyerang untuk menyimpulkan jenis kesalahan yang terjadi di server dengan mengukur waktu yang diperlukan untuk menerima kesalahan.
Selain itu, solusi ini memerlukan permintaan pemblokiran yang menentukan jalur kesalahan aplikasi pada querystring. Ini dapat dilakukan menggunakan URLScan, alat gratis untuk Layanan Informasi Internet (IIS) yang dapat secara selektif memblokir permintaan berdasarkan aturan yang ditentukan oleh administrator. Jika sistem Anda menjalankan Layanan Informasi Internet (IIS) pada Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7, atau Windows Server 2008 R2, Anda dapat menggunakan fitur Pemfilteran Permintaan.
Memblokir permintaan yang mengubah jalur kesalahan aplikasi ASP.Net pada querystring permintaan
Menggunakan UrlScan:
Unduh dan instal UrlScan 3.1. Untuk petunjuk lebih lanjut tentang mengonfigurasi dan menggunakan UrlScan, lihat Referensi UrlScan 3.
Ubah UrlScan.ini (ditemukan di %windir%\system32\inetsrv\urlscan). Sisipkan baris berikut di bawah bagian [DenyQueryStringSequences] dari file Urlscan.ini:
aspxerrorpath=
Setelah Anda melakukannya, bagian [DenyQueryStringSequences] akan terlihat mirip dengan ini (baris tambahan di bagian tidak apa-apa dan tidak memengaruhi solusi):
[DenyQueryStringSequences] aspxerrorpath=
- Jalankan iisreset dari prompt perintah saat masuk sebagai administrator.
Menggunakan pemfilteran permintaan IIS:
Instruksi ini adalah alternatif untuk instruksi UrlScan di atas untuk sistem yang menjalankan IIS pada Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7, atau Windows Server 2008 R2.
Instal fitur Pemfilteran Permintaan di IIS melalui Tambahkan/Hapus Program atau Manger Peran dengan memilih fitur di bawah Layanan Informasi Internet, World Wide Web Services, Security.
Luncurkan Manajer Layanan Informasi Internet (IIS).
Pilih simpul server di panel kiri.
Klik dua kali Pemfilteran Permintaan.
Pilih tab String Kueri dan klik Tolak String Kueri ... di panel Tindakan .
Masukkan aspxerrorpath= dalam kotak dialog dan pilih OK.
Atau, Anda juga dapat menggunakan perintah appcmd berikut untuk mengatur querystring permintaan ini:
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']
Untuk informasi selengkapnya tentang menggunakan appcmd untuk mengonfigurasi IIS, lihat Memulai AppCmd.exe.
Mengonfigurasi aplikasi ASP.Net untuk menggunakan kesalahan kustom yang seragam
Di folder akar setiap aplikasi web ASP.NET, tentukan apakah Anda sudah memiliki file web.config di folder ini. Anda harus memiliki hak untuk membuat file di direktori target untuk menerapkan solusi ini.
Jika aplikasi ASP.NET tidak memiliki file web.config:
Pada .NET Framework 3.5 dan yang lebih lama
- Buat file teks bernama web.config di folder akar aplikasi ASP.NET, dan sisipkan konten berikut:
<configuration>
2. Create a text file named **error.html** containing a generic error message and save it in the root folder of the ASP.NET application.
3. Alternatively, you can rename error.html in the **web.config** file to point to an existing error page, but that page must display generic content, not context-specific content.
**On .NET Framework 3.5 Service Pack 1 and later**
1. Create a text file named **web.config** in the root folder of the ASP.NET application, and insert the following contents:
```
<configuration>
```
2. If you are comfortable using C\#, we recommend using the following **ErrorPage.aspx** file:
```
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
```
```
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
```
```
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "https://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
```
```
<html xmlns="https://www.w3.org/1999/xhtml">