セキュリティ情報
Microsoft セキュリティ情報 MS10-070 - 重要
ASP.NET の脆弱性により、情報漏えいが発生する (2418042)
公開日: 2010 年 9 月 28 日 |更新日: 2011 年 10 月 26 日
バージョン: 4.2
一般情報
概要
このセキュリティ更新プログラムは、ASP.NET で公開されている脆弱性を解決します。 この脆弱性により、情報漏えいが起こる可能性があります。 攻撃者がこの脆弱性を悪用した場合、サーバーによって暗号化されたビューステートなどのデータを読み取る可能性があります。 この脆弱性は、データの改ざんにも使用できます。この脆弱性は、正常に悪用された場合、サーバーによって暗号化されたデータの復号化と改ざんに使用される可能性があります。 Microsoft .NET Framework 3.5 Service Pack 1 より前のバージョンの Microsoft .NET Framework は、この脆弱性のファイル コンテンツ漏えい部分の影響を受けません。
このセキュリティ更新プログラムは、Microsoft .NET Framework 1.0 Service Pack 3 を除く、ASP.NET でサポートされているすべてのエディションで重要と評価されます。 詳細については、このセクションの「影響を受けるソフトウェア」および「影響を受けるソフトウェア」のサブセクションを参照してください。
このセキュリティ更新プログラムは、ASP.NET によって暗号化されたすべてのデータにさらに署名することで、この脆弱性を解決します。 この脆弱性の詳細については、次のセクション 「脆弱性情報」の下にある特定の脆弱性エントリについてよく寄せられる質問 (FAQ) サブセクションを参照してください。
このセキュリティ更新プログラムは、Microsoft セキュリティ アドバイザリ 2416728で最初に 説明した脆弱性にも対処します。
推奨。 Microsoft では、お客様ができるだけ早い機会に更新プログラムを適用することをお勧めします。
このセキュリティ情報の後半の「検出と展開のツールとガイダンス」セクションも参照してください。
既知の問題。マイクロソフト サポート技術情報の記事2418042 、このセキュリティ更新プログラムをインストールするときにお客様が経験する可能性がある現在の既知の問題について説明しています。 この記事では、これらの問題に対して推奨される解決策についても説明します。
影響を受けるソフトウェアと影響を受けないもの
次のソフトウェアは、影響を受けるバージョンまたはエディションを特定するためにテストされています。 その他のバージョンまたはエディションは、サポート ライフサイクルを過ぎたか、影響を受けません。 ソフトウェアのバージョンまたはエディションのサポート ライフサイクルを決定するには、Microsoft サポート ライフサイクルにアクセスしてください。
影響を受けるソフトウェア
*Server Core のインストールが影響を受けます。 この更新プログラムは、Windows Server 2008 R2 のサポートされているエディション (Server Core インストール オプションを使用してインストールされているかどうかにかかわらず) に、同じ重大度評価で適用されます。 このインストール オプションの詳細については、TechNet の記事「Server Core のインストールの管理と Server Core インストールのサービス」を参照してください。 Server Core のインストール オプションは、Windows Server 2008 および Windows Server 2008 R2 の特定のエディションには適用されないことに注意してください。「Server Core インストール オプションの比較」を参照してください。
**Server Core のインストールは影響を受けません。 この更新プログラムで対処される脆弱性は、Server Core インストール オプションを使用してインストールされた場合に示されているように、サポートされている Windows Server 2008 のエディションには影響しません。 このインストール オプションの詳細については、TechNet の記事「Server Core のインストールの管理と Server Core インストールのサービス」を参照してください。 Server Core のインストール オプションは、Windows Server 2008 および Windows Server 2008 R2 の特定のエディションには適用されないことに注意してください。「Server Core インストール オプションの比較」を参照してください。
[1]。NET Framework 4.0 クライアント プロファイルは影響を受けません。 .NET Framework バージョン 4 の再頒布可能パッケージは、.NET Framework 4.0 と .NET Framework 4.0 クライアント プロファイルの 2 つのプロファイルで使用できます。 .NET Framework 4.0 クライアント プロファイルは、.NET Framework 4.0 のサブセットです。 この更新プログラムで対処される脆弱性は.NET Framework 4.0 にのみ影響し、.NET Framework 4.0 クライアント プロファイルには影響しません。 詳細については、「.NET Framework のインストール」を参照してください。
影響を受けるソフトウェア以外のソフトウェア
オペレーティング システム | コンポーネント |
---|---|
Microsoft .NET Framework 1.0 Service Pack 3 | |
Windows XP Service Pack 3 | Microsoft .NET Framework 1.0 Service Pack 3 (Windows XP Media Center Edition 2005 および Windows XP Tablet PC Edition 2005 のみ) |
Microsoft .NET Framework 3.5.1 | |
Windows 7 for 32 ビット システム Service Pack 1 | Microsoft .NET Framework 3.5.1 |
Windows 7 for x64 ベースのシステム Service Pack 1 | Microsoft .NET Framework 3.5.1 |
x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 | Microsoft .NET Framework 3.5.1 |
Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1 | Microsoft .NET Framework 3.5.1 |
このセキュリティ更新プログラムに関連してよく寄せられる質問 (FAQ)
2011 年 2 月 22 日にこのセキュリティ情報が改訂された理由
Microsoft はこのセキュリティ情報を改訂し、Microsoft .NET Framework 4.0 (KB (キロバイト)2416472) 更新プログラム パッケージを、Windows 7 for 32 ビット システム Service Pack 1、Windows 7 for x64 ベースシステム Service Pack 1、Windows Server 2008 R2 for x64 ベースシステム Service Pack 1、Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1 を実行しているシステムに提供する検出の変更を発表しました。 この検出の変更は、Windows 7 for 32 ビット システム Service Pack 1、Windows 7 for x64 ベースシステム Service Pack 1、Windows Server 2008 R2 for x64 ベースの Systems Service Pack 1、または Windows Server 2008 R2 for Itanium ベースの Systems Service Pack 1 をインストールした後に Microsoft .NET Framework 4.0 をインストールした場合にのみ適用されます。 システムを既に正常に更新しているお客様は、何も行う必要はありません。
2010 年 12 月 14 日にこのセキュリティ情報が改訂された理由
Microsoft は、Microsoft .NET Framework 4.0 (KB (キロバイト)2416472) で新しい更新プログラム パッケージが利用可能であることを発表するために、このセキュリティ情報を改訂しました。 これらの新しいパッケージは、セットアップの問題を修正し、他の更新プログラムの正常なインストールを妨げる可能性があります。 この問題の影響を受けている可能性のある別の製品または更新プログラムのインストールがある場合は、マイクロソフト サポート技術情報の記事2473228を参照してください。 システムを既に正常に更新しているお客様は、何も行う必要はありません。
.NET Framework 3.0 Service Pack 2 がインストールされています。このバージョンは、このセキュリティ情報の影響を受けるソフトウェアの中には記載されていません。 更新プログラムをインストールする必要がありますか?
このセキュリティ情報では、.NET Framework 2.0 および .NET Framework 3.5 機能レイヤーの脆弱性について説明します。 .NET Framework 3.0 Service Pack 2 インストーラー チェーンは .NET Framework 2.0 Service Pack 2 セットアップで行われます。そのため、前者をインストールすると、後者もインストールされます。 そのため、.NET Framework 3.0 Service Pack 2 がインストールされているお客様は、.NET Framework 2.0 Service Pack 2 のセキュリティ更新プログラムをインストールする必要があります。
.NET Framework 3.5 がインストールされています。 追加の更新プログラムをインストールする必要がありますか?
このセキュリティ情報では、.NET Framework 2.0 および .NET Framework 3.5 機能レイヤーの脆弱性について説明します。 .NET Framework 3.5 インストーラーは、.NET Framework 2.0 Service Pack 1 セットアップと .NET Framework 3.0 Service Pack 1 セットアップの両方でチェーンされます。 そのため、.NET Framework 3.5 がインストールされているお客様は、.NET Framework 3.5 の更新プログラムに加えて、.NET Framework 2.0 Service Pack 1 のセキュリティ更新プログラムもインストールする必要があります。
システムにインストールされている .NET Framework の追加バージョンがあるかどうかを判断するには、このセクションの後半にある FAQ エントリ「操作方法インストールされている Microsoft .NET Framework のバージョンを確認する」を参照してください。
.NET Framework 3.5 Service Pack 1 がインストールされています。 追加の更新プログラムをインストールする必要がありますか?
このセキュリティ情報では、.NET Framework 2.0 および .NET Framework 3.5 機能レイヤーの脆弱性について説明します。 .NET Framework 3.5 Service Pack 1 インストーラー は、.NET Framework 2.0 Service Pack 2 セットアップと .NET Framework 3.0 Service Pack 2 セットアップの両方でチェーンされます。 そのため、.NET Framework 3.5 Service Pack 1 がインストールされているお客様は、.NET Framework 2.0 Service Pack 2 のセキュリティ更新プログラムもインストールする必要があります。
システムにインストールされている .NET Framework の追加バージョンがあるかどうかを判断するには、このセクションの後半にある FAQ エントリ「操作方法インストールされている Microsoft .NET Framework のバージョンを確認する」を参照してください。
2010 年 9 月 30 日にこのセキュリティ情報が改訂された理由
Microsoft はこのセキュリティ情報を改訂し、Microsoft Update や Windows Update を含むすべての配布チャネルで更新プログラムを利用できるようになったことをお知らせしました。 さらに、このリビジョンには、次の明確化と修正も含まれています。
- 影響を受けるソフトウェアの表に次の修正を加えました。
- Windows XP および Windows Server 2003 システムの .NET Framework 3.5 Service Pack 1 を含むように、更新プログラムのKB (キロバイト)2418241に関するセキュリティ情報の説明が修正されました。 これは、セキュリティ情報の変更のみでした。 更新プログラムKB (キロバイト)2418241正常にインストールされているお客様は、再インストールする必要はありません。 Windows XP または Windows Server 2003 システムで .NET Framework 3.5 Service Pack 1 を実行している場合、更新プログラムのKB (キロバイト)2418241をインストールしていない場合は、.NET Framework 3.5 Service Pack 1 の更新プログラムKB (キロバイト)2416473を既に適用している場合でも、できるだけ早く更新プログラムを適用する必要があります。 お客様は、システムにインストールされているソフトウェアに対して提供されるすべての更新プログラムを適用する必要があります。
- 更新KB (キロバイト)2416474のセキュリティ情報の説明は、Windows Vista および Windows Server 2008 システムの .NET Framework 3.5 Service Pack 1 を含むように修正されました。 これは、セキュリティ情報の変更のみでした。 更新プログラムKB (キロバイト)2416474正常にインストールされたお客様は、再インストールする必要はありません。 Windows Vista または Windows Server 2008 システムで .NET Framework 3.5 Service Pack 1 を実行している場合、更新プログラムKB (キロバイト)2416474をインストールしていない場合は、.NET Framework 3.5 Service Pack 1 の更新プログラム KB (キロバイト)2416473を既に適用している場合でも、できるだけ早く更新プログラムを適用する必要があります。 お客様は、システムにインストールされているソフトウェアに対して提供されるすべての更新プログラムを適用する必要があります。
- 更新KB (キロバイト)2416470のセキュリティ情報の説明は、Windows Vista および Windows Server 2008 システムの Microsoft .NET Framework 3.5 および Microsoft .NET Framework 3.5 Service Pack 1 を含むように修正されました。 これは、セキュリティ情報の変更のみでした。 更新プログラムKB (キロバイト)2416470正常にインストールされたお客様は、再インストールする必要はありません。 Windows Vista または Windows Server 2008 システムで .NET Framework 3.5 および Microsoft .NET Framework 3.5 Service Pack 1 を実行しているお客様は、更新プログラムKB (キロバイト)2416470をインストールしていない場合は、既に .NET Framework 3.5 の更新プログラム KB (キロバイト)2418240を適用し、.NET Framework 3.5 Service Pack 1 の更新プログラム KB (キロバイト)2416473を適用している場合でも、できるだけ早く更新プログラムを適用する必要があります。 お客様は、システムにインストールされているソフトウェアに対して提供されるすべての更新プログラムを適用する必要があります。
- Windows XP、Windows Server 2003、Windows Vista Service Pack 1、および Windows Server 2008 システム用の .NET Framework 3.5 の追加更新プログラムとして、更新プログラムのKB (キロバイト)2418240が一覧表示されました。 これは、セキュリティ情報の変更のみでした。 更新プログラムKB (キロバイト)2418240を正常にインストールしたお客様は、再インストールする必要はありません。 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008 システムで .NET Framework 3.5 を実行している場合、更新プログラムKB (キロバイト)2418240をインストールしていない場合は、.NET Framework 3.5 用に別の更新プログラムを既に適用している場合でも、できるだけ早く更新プログラムを適用する必要があります。 お客様は、システムにインストールされているソフトウェアに対して提供されるすべての更新プログラムを適用する必要があります。
- このセクションでは、FAQ 「インストールされている Microsoft .NET Framework のバージョンを決定操作方法」を追加しました。
- FAQ を追加しました。"Microsoft .NET Framework のバージョンに関する 2 つの更新プログラムがシステムにインストールされています。 このセクションでは、両方の更新プログラムをインストールする必要がありますか?
- このセクションの FAQ「これらのセキュリティ更新プログラムを特定の順序でインストールする必要がありますか」を追加しました。
インストールされている Microsoft .NET Framework のバージョンを確認操作方法。
.NET Framework の複数のバージョンをシステムにインストールして実行し、任意の順序でバージョンをインストールできます。 現在インストールされている .NET Framework のバージョンを確認するには、いくつかの方法があります。 詳細については、マイクロソフト サポート技術情報の記事318785を参照してください。
システムにインストールされている Microsoft .NET Framework のバージョンに対して、2 つの更新プログラムが一覧表示されています。 両方の更新プログラムをインストールする必要がありますか?
はい。 お客様は、システムにインストールされているソフトウェアに対して提供されるすべての更新プログラムを適用する必要があります。
これらのセキュリティ更新プログラムを特定の順序でインストールする必要がありますか?
いいえ。 1 つのバージョンの .NET Framework に対して複数の更新プログラムを任意の順序で適用できます。 .NET Framework の異なるバージョンに対する複数の更新プログラムは、最小バージョン番号から最上位バージョンまで順番に適用することをお勧めしますが、その順序は必要ありません。
ファイル情報の詳細はどこにありますか?
ファイル情報の詳細の場所については、「セキュリティ更新プログラムの展開」セクションの参照表を参照してください。
このセキュリティ情報で説明されているソフトウェアの以前のリリースを使用しています。 どうすればよいですか。
このセキュリティ情報に記載されている影響を受けるソフトウェアは、影響を受けるリリースを特定するためにテストされています。 他のリリースはサポート ライフサイクルを過ぎている。 製品ライフサイクルの詳細については、Microsoft サポート ライフサイクル Web サイトを参照してください。
ソフトウェアの古いリリースをお持ちのお客様は、脆弱性にさらされる可能性を防ぐために、サポートされているリリースに移行することが優先されます。 ソフトウェア リリースのサポート ライフサイクルを決定するには、「ライフサイクル情報の製品を選択する」を参照してください。 これらのソフトウェア リリースのサービス パックの詳細については、「ライフサイクルでサポートされるサービス パック」を参照してください。
古いソフトウェアのカスタム サポートを必要とするお客様は、カスタム サポート オプションについて、Microsoft アカウント チームの担当者、テクニカル アカウント マネージャー、または適切な Microsoft パートナー担当者にお問い合わせください。 アライアンス、プレミア、または承認された契約を持たないお客様は、お住まいの地域の Microsoft 営業所にお問い合わせください。 連絡先情報については、Microsoft Worldwide Information Web サイトにアクセスし、[連絡先情報] リストで国を選択し、[移動] をクリックして電話番号の一覧を表示します。 お電話の際は、地元の Premier サポートセールスマネージャーにお問い合わせください。 詳細については、Microsoft サポート ライフサイクル ポリシーに関する FAQ を参照してください。
脆弱性情報
重大度の評価と脆弱性識別子
次の重大度評価は、脆弱性の潜在的な最大影響を想定しています。 このセキュリティ情報のリリースから 30 日以内に、脆弱性の重大度評価とセキュリティへの影響に関する脆弱性の悪用可能性に関する情報については、9 月のセキュリティ情報の概要にある Exploitability Index を参照してください。 詳細については、「Microsoft Exploitability Index」を参照してください。
影響を受けるソフトウェア | ASP.NET Padding Oracle の脆弱性 - CVE-2010-3332 | 重大度の評価の集計 |
---|---|---|
Microsoft .NET Framework 1.1 Service Pack 1 | ||
Windows XP Service Pack 3 にインストールされている場合の Microsoft .NET Framework 1.1 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows XP Professional x64 Edition Service Pack 2 にインストールされている場合の Microsoft .NET Framework 1.1 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows Server 2003 Service Pack 2 の Microsoft .NET Framework 1.1 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows Server 2003 x64 Edition Service Pack 2 にインストールされている場合の Microsoft .NET Framework 1.1 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows Server 2003 Itanium ベースのエディション Service Pack 2 にインストールされている場合の Microsoft .NET Framework 1.1 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows Vista Service Pack 1 および Windows Vista Service Pack 2 にインストールされている場合の Microsoft .NET Framework 1.1 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows Vista x64 Edition Service Pack 1 および Windows Vista x64 Edition Service Pack 2 にインストールされている場合の Microsoft .NET Framework 1.1 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows Server 2008 for 32 ビット システムおよび Windows Server 2008 for 32 ビット システム Service Pack 2** にインストールされている場合の Microsoft .NET Framework 1.1 Service Pack 1** | 重要な 情報の開示 | 重要 |
x64 ベースシステム用 Windows Server 2008 および x64 ベース システム Service Pack 2 用 Windows Server 2008 にインストールされている場合の Microsoft .NET Framework 1.1 Service Pack 1** | 重要な 情報の開示 | 重要 |
Itanium ベースシステム用 Windows Server 2008 および Itanium ベースシステム Service Pack 2 用 Windows Server 2008 にインストールされている場合の Microsoft .NET Framework 1.1 Service Pack 1 | 重要な 情報の開示 | 重要 |
Microsoft .NET Framework 2.0 Service Pack 1 | ||
Windows Vista Service Pack 1 の Microsoft .NET Framework 2.0 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows Vista x64 Edition Service Pack 1 の Microsoft .NET Framework 2.0 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows Server 2008 for 32 ビット システム用 Microsoft .NET Framework 2.0 Service Pack 1** | 重要な 情報の開示 | 重要 |
x64 ベース システム用 Windows Server 2008 の Microsoft .NET Framework 2.0 Service Pack 1** | 重要な 情報の開示 | 重要 |
Itanium ベースシステム用 Windows Server 2008 の Microsoft .NET Framework 2.0 Service Pack 1 | 重要な 情報の開示 | 重要 |
Microsoft .NET Framework 2.0 Service Pack 2 | ||
Windows XP Service Pack 3 にインストールされている場合の Microsoft .NET Framework 2.0 Service Pack 2 | 重要な 情報の開示 | 重要 |
Windows XP Professional x64 Edition Service Pack 2 にインストールされている場合の Microsoft .NET Framework 2.0 Service Pack 2 | 重要な 情報の開示 | 重要 |
Windows Server 2003 Service Pack 2 にインストールされている場合の Microsoft .NET Framework 2.0 Service Pack 2 | 重要な 情報の開示 | 重要 |
Windows Server 2003 x64 Edition Service Pack 2 にインストールされている場合の Microsoft .NET Framework 2.0 Service Pack 2 | 重要な 情報の開示 | 重要 |
Windows Server 2003 SP2 for Itanium ベースのシステムにインストールされている場合の Microsoft .NET Framework 2.0 Service Pack 2 | 重要な 情報の開示 | 重要 |
Windows Vista Service Pack 2 の Microsoft .NET Framework 2.0 Service Pack 2 | 重要な 情報の開示 | 重要 |
Windows Vista x64 Edition Service Pack 2 の Microsoft .NET Framework 2.0 Service Pack 2 | 重要な 情報の開示 | 重要 |
Windows Server 2008 for 32 ビット システム Service Pack 2 の Microsoft .NET Framework 2.0 Service Pack 2** | 重要な 情報の開示 | 重要 |
x64 ベースシステム Service Pack 2 用 Windows Server 2008 の Microsoft .NET Framework 2.0 Service Pack 2** | 重要な 情報の開示 | 重要 |
Windows Server 2008 for Itanium ベースシステム Service Pack 2 の Microsoft .NET Framework 2.0 Service Pack 2 | 重要な 情報の開示 | 重要 |
Microsoft .NET Framework 3.5 | ||
Windows XP Service Pack 3 にインストールされている場合の Microsoft .NET Framework 3.5 | 重要な 情報の開示 | 重要 |
Windows XP Professional x64 Edition Service Pack 2 にインストールされている場合の Microsoft .NET Framework 3.5 | 重要な 情報の開示 | 重要 |
Windows Server 2003 Service Pack 2 にインストールされている場合の Microsoft .NET Framework 3.5 | 重要な 情報の開示 | 重要 |
Windows Server 2003 x64 Edition Service Pack 2 にインストールされている場合の Microsoft .NET Framework 3.5 | 重要な 情報の開示 | 重要 |
Windows Server 2003 SP2 for Itanium ベースのシステムにインストールされている場合の Microsoft .NET Framework 3.5 | 重要な 情報の開示 | 重要 |
Windows Vista Service Pack 1 および Windows Vista Service Pack 2 にインストールされている場合の Microsoft .NET Framework 3.5 | 重要な 情報の開示 | 重要 |
Windows Vista x64 Edition Service Pack 1 および Windows Vista x64 Edition Service Pack 2 にインストールされている場合の Microsoft .NET Framework 3.5 | 重要な 情報の開示 | 重要 |
Windows Server 2008 for 32 ビット システムにインストールされている場合の Microsoft .NET Framework 3.5** | 重要な 情報の開示 | 重要 |
x64 ベースシステム用 Windows Server 2008 にインストールされている場合の Microsoft .NET Framework 3.5** | 重要な 情報の開示 | 重要 |
Windows Server 2008 for Itanium ベースのシステムにインストールされている場合の Microsoft .NET Framework 3.5 | 重要な 情報の開示 | 重要 |
Microsoft .NET Framework 3.5 Service Pack 1 | ||
Windows XP Service Pack 3 にインストールされている場合の Microsoft .NET Framework 3.5 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows XP Professional x64 Edition Service Pack 2 にインストールされている場合の Microsoft .NET Framework 3.5 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows Server 2003 Service Pack 2 にインストールされている場合の Microsoft .NET Framework 3.5 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows Server 2003 x64 Edition Service Pack 2 にインストールされている場合の Microsoft .NET Framework 3.5 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows Server 2003 SP2 for Itanium ベースのシステムにインストールされている場合の Microsoft .NET Framework 3.5 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows Vista Service Pack 1 および Windows Vista Service Pack 2 にインストールされている場合の Microsoft .NET Framework 3.5 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows Vista x64 Edition Service Pack 1 および Windows Vista x64 Edition Service Pack 2 にインストールされている場合の Microsoft .NET Framework 3.5 Service Pack 1 | 重要な 情報の開示 | 重要 |
Windows Server 2008 for 32 ビット システムにインストールされている場合は Microsoft .NET Framework 3.5 Service Pack 1、32 ビット システム用 Windows Server 2008 Service Pack 2** | 重要な 情報の開示 | 重要 |
x64 ベースシステム用 Windows Server 2008 および x64 ベース システム Service Pack 2 用 Windows Server 2008 にインストールされている場合の Microsoft .NET Framework 3.5 Service Pack 1** | 重要な 情報の開示 | 重要 |
Windows Server 2008 for Itanium ベースシステムおよび Windows Server 2008 for Itanium ベースシステム Service Pack 2 にインストールされている場合の Microsoft .NET Framework 3.5 Service Pack 1 | 重要な 情報の開示 | 重要 |
Microsoft .NET Framework 3.5.1 | ||
32 ビット システム用 Windows 7 の Microsoft .NET Framework 3.5.1 | 重要な 情報の開示 | 重要 |
x64 ベース システム用 Windows 7 の Microsoft .NET Framework 3.5.1 | 重要な 情報の開示 | 重要 |
x64 ベース システム用 Windows Server 2008 R2 の Microsoft .NET Framework 3.5.1* | 重要な 情報の開示 | 重要 |
Windows Server 2008 R2 for Itanium ベース システムの Microsoft .NET Framework 3.5.1 | 重要な 情報の開示 | 重要 |
Microsoft .NET Framework 4.0 | ||
Windows XP Service Pack 3 の Microsoft .NET Framework 4.0 | 重要な 情報の開示 | 重要 |
Windows XP Professional x64 Edition Service Pack 2 の Microsoft .NET Framework 4.0 | 重要な 情報の開示 | 重要 |
Windows Server 2003 Service Pack 2 の Microsoft .NET Framework 4.0 | 重要な 情報の開示 | 重要 |
Windows Server 2003 x64 Edition Service Pack 2 の Microsoft .NET Framework 4.0 | 重要な 情報の開示 | 重要 |
Windows Server 2003 上の Microsoft .NET Framework 4.0 sp2 for Itanium ベースのシステム | 重要な 情報の開示 | 重要 |
Windows Vista Service Pack 2 の Microsoft .NET Framework 4.0 | 重要な 情報の開示 | 重要 |
Windows Vista x64 Edition Service Pack 2 の Microsoft .NET Framework 4.0 | 重要な 情報の開示 | 重要 |
Windows Server 2008 for 32 ビット システム Service Pack 2 の Microsoft .NET Framework 4.0** | 重要な 情報の開示 | 重要 |
x64 ベースシステム Service Pack 2 用 Windows Server 2008 上の Microsoft .NET Framework 4.0** | 重要な 情報の開示 | 重要 |
Windows Server 2008 for Itanium ベースシステム Service Pack 2 の Microsoft .NET Framework 4.0 | 重要な 情報の開示 | 重要 |
Microsoft .NET Framework 4.0 on Windows 7 for 32 ビット システムおよび Windows 7 for 32 ビット システム Service Pack 1 | 重要な 情報の開示 | 重要 |
x64 ベースのシステムの場合は Windows 7 の Microsoft .NET Framework 4.0、x64 ベースシステム Service Pack 1 の場合は Windows 7 | 重要な 情報の開示 | 重要 |
x64 ベースシステム用 Windows Server 2008 R2 の Microsoft .NET Framework 4.0 | 重要な 情報の開示 | 重要 |
x64 ベースシステム Service Pack 1* 用 Windows Server 2008 R2 の Microsoft .NET Framework 4.0 | 重要な 情報の開示 | 重要 |
Microsoft .NET Framework 4.0 on Windows Server 2008 R2 for Itanium-based Systems および Windows Server 2008 R2 for Itanium ベースシステム Service Pack 1 | 重要な 情報の開示 | 重要 |
*Server Core のインストールが影響を受けます。 この更新プログラムは、示されているように、サポートされている Windows Server 2008 または Windows Server 2008 R2 のエディションに、Server Core インストール オプションを使用してインストールされるかどうかにかかわらず、同じ重大度評価で適用されます。 このインストール オプションの詳細については、TechNet の記事「Server Core のインストールの管理と Server Core インストールのサービス」を参照してください。 Server Core のインストール オプションは、Windows Server 2008 および Windows Server 2008 R2 の特定のエディションには適用されないことに注意してください。「Server Core インストール オプションの比較」を参照してください。
**Server Core のインストールは影響を受けません。 この更新プログラムで対処される脆弱性は、Server Core インストール オプションを使用してインストールされた場合、示されているように、サポートされている Windows Server 2008 または Windows Server 2008 R2 のエディションには影響しません。 このインストール オプションの詳細については、TechNet の記事「Server Core のインストールの管理と Server Core インストールのサービス」を参照してください。 Server Core のインストール オプションは、Windows Server 2008 および Windows Server 2008 R2 の特定のエディションには適用されないことに注意してください。「Server Core インストール オプションの比較」を参照してください。
ASP.NET Padding Oracle の脆弱性 - CVE-2010-3332
暗号化パディング検証中に不適切なエラー処理が行われたため、ASP.NET に情報漏えいの脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、サーバーによって暗号化されたビューステートなどのデータを読み取る可能性があります。 この脆弱性は、データの改ざんにも使用できます。この脆弱性は、正常に悪用された場合、サーバーによって暗号化されたデータの復号化と改ざんに使用される可能性があります。 この脆弱性により、攻撃者はコードを実行したり、ユーザー権限を直接昇格させたりすることはできませんが、影響を受けるシステムをさらに侵害しようとする可能性のある情報を生成するために使用される可能性があることに注意してください。 Microsoft .NET Framework 3.5 Service Pack 1 以降では、攻撃者がこの脆弱性を使用して、web.config を含む ASP.NET アプリケーション内の任意のファイルの内容を取得することもできます。
この脆弱性を一般的な脆弱性と露出の一覧の標準エントリとして表示するには、CVE-2010-3332 を参照してください。
「ASP.NET Padding Oracle の脆弱性」の問題を緩和する要素 - CVE-2010-3332:
軽減策とは、既定の状態で存在する設定、一般的な構成、または一般的なベスト プラクティスを指します。これにより、脆弱性の悪用の重大度が低下する可能性があります。 次の軽減要因は、状況に役立つ場合があります。
- Microsoft .NET Framework 3.5 Service Pack 1 より前のバージョンの Microsoft .NET Framework は、この脆弱性のファイル コンテンツ漏えい部分の影響を受けません。
「ASP.NET Padding Oracle の脆弱性」の回避策 - CVE-2010-3332:
回避策とは、基になる脆弱性を修正しないが、更新プログラムを適用する前に既知の攻撃ベクトルをブロックするのに役立つ設定または構成の変更を指します。 Microsoft は、回避策によって機能が低下するかどうかを説明する中で、次の回避策と状態をテストしました。
UrlScan または要求フィルター処理ルールを有効にし、カスタム エラー ASP.NET 有効にして、すべてのエラー コードを同じエラー ページにマップする
ASP.NET の customErrors 機能を有効にし、サーバーで発生したエラーに関係なく、常に同じエラー ページを返すようにアプリケーションを明示的に構成すると、攻撃者が現在の悪用を使用してサーバーで発生するさまざまな種類のエラーを区別することが困難になる可能性があります。
.NET Framework バージョン 3.5 Service Pack 1 以降を使用するシステムでは、回避策により、現在の悪用のタイミング攻撃部分から保護することも可能になり、さらに保護されます。 この回避策では、customErrors 機能で redirectMode="ResponseRewrite" オプションを使用し、エラー ページにランダムな遅延が発生します。 これらのアプローチが連携して、攻撃者がエラーの受信にかかった時間を測定することで、サーバー上で発生したエラーの種類を推測することがより困難になります。
さらに、この回避策では、クエリ文字列のアプリケーション エラー パスを指定するブロック要求が必要です。 これは、管理者が定義したルールに基づいて要求を選択的にブロックできる、インターネット インフォメーション サービス (IIS) 用の無料ツールである URLScan を使用して行うことができます。 システムが Windows Vista Service Pack 2、Windows Server 2008 Service Pack 2、Windows 7、または Windows Server 2008 R2 で インターネット インフォメーション サービス (IIS) を実行している場合は、要求フィルター機能を使用することもできます。
要求クエリ文字列のアプリケーション エラー パス ASP.Net 変更する要求をブロックする
UrlScan の使用:
UrlScan 3.1 をダウンロードしてインストール します。 UrlScan の構成と使用に関する詳細な手順については、UrlScan 3 リファレンスを参照してください。
UrlScan.iniを変更します ( %windir%\system32\inetsrv\urlscan にあります)。 Urlscan.ini ファイルの [DenyQueryStringSequences] セクションに次の行を挿入します。
aspxerrorpath=
その後、[ DenyQueryStringSequences] セクションは次のようになります (セクションの追加行は問題なく、回避策には影響しません)。
[DenyQueryStringSequences] aspxerrorpath=
- 管理者としてログインしているときに、コマンド プロンプトから iisreset を実行します。
IIS 要求フィルターの使用:
これらの手順は、Windows Vista Service Pack 2、Windows Server 2008 Service Pack 2、Windows 7、または Windows Server 2008 R2 で IIS を実行するシステムに関する上記の UrlScan 命令の代替手段です。
[インターネット インフォメーション サービス、World Wide Web Services、Security] で機能を選択して、[プログラムの追加と削除] または [ロール マネージャー] を使用して、IIS に要求フィルター機能をインストールします。
インターネット インフォメーション サービス (IIS) マネージャーを起動します。
左側のウィンドウでサーバー ノードを選択します。
[要求のフィルター処理] をダブルクリックします。
[クエリ文字列] タブを選択し、[操作] ウィンドウの [クエリ文字列の拒否] をクリックします。
ダイアログ ボックスに「aspxerrorpath=」と入力し、[OK] を選択します。
または、次の appcmd コマンドを使用して、この要求クエリ文字列を設定することもできます。
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']
appcmd を使用して IIS を構成する方法の詳細については、「AppCmd.exeの概要」を参照してください。
統一されたカスタム エラーを使用するように ASP.Net アプリケーションを構成する
各 ASP.NET Web アプリケーションのルート フォルダーで、このフォルダーに web.config ファイルが既にあるかどうかを確認します。 この回避策を実装するには、ターゲット ディレクトリにファイルを作成する権限が必要です。
ASP.NET アプリケーションに web.config ファイルがない場合:
.NET Framework 3.5 以前
- ASP.NET アプリケーションのルート フォルダーに web.config という名前のテキスト ファイルを作成し、次の内容を挿入します。
<configuration>
2. Create a text file named **error.html** containing a generic error message and save it in the root folder of the ASP.NET application.
3. Alternatively, you can rename error.html in the **web.config** file to point to an existing error page, but that page must display generic content, not context-specific content.
**On .NET Framework 3.5 Service Pack 1 and later**
1. Create a text file named **web.config** in the root folder of the ASP.NET application, and insert the following contents:
```
<configuration>
```
2. If you are comfortable using C\#, we recommend using the following **ErrorPage.aspx** file:
```
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
```
```
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
```
```
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "https://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
```
```
<html xmlns="https://www.w3.org/1999/xhtml">