Boletim de Segurança da Microsoft MS14-004 – Importante

Vulnerabilidade no Microsoft Dynamics AX pode permitir negação de serviço (2880826)

Publicado em: 14 de janeiro de 2014

Versão: 1.0

Informações gerais

Resumo executivo

Essa atualização de segurança resolve uma vulnerabilidade relatada de forma privada no Microsoft Dynamics AX. A vulnerabilidade poderá permitir a negação de serviço se um invasor autenticado enviar dados especialmente elaborados para uma instância afetada do AOS (Servidor de Objetos de Aplicativo) do Microsoft Dynamics AX. Um invasor que explorou essa vulnerabilidade com êxito pode fazer com que a instância do AOS de destino pare de responder às solicitações do cliente.

Esta atualização de segurança é classificada como Importante para todas as edições com suporte do Microsoft Dynamics AX 4.0, Microsoft Dynamics AX 2009, Microsoft Dynamics AX 2012 e Microsoft Dynamics AX 2012 R2. Para obter mais informações, consulte a subseção, Software Afetado e Não Afetado, nesta seção.

A atualização de segurança resolve a vulnerabilidade ajudando a garantir que o Microsoft Dynamics AX manipule corretamente os dados fornecidos por um usuário. Para obter mais informações sobre a vulnerabilidade, consulte a subseção perguntas frequentes para a entrada de vulnerabilidade específica posteriormente neste boletim.

Recomendação.  A Microsoft recomenda que os clientes apliquem a atualização na primeira oportunidade.

Consulte também a seção Ferramentas e Diretrizes de Detecção e Implantação, mais adiante neste boletim.

Artigo da Base de Dados de Conhecimento

  • Artigo da Base de Dados de Conhecimento: 2880826
  • Informações do arquivo: Sim
  • Hashes SHA1/SHA2: Sim
  • Problemas conhecidos: Nenhum

 

Software afetado e não afetado

O software a seguir foi testado para determinar quais versões ou edições são afetadas. Outras versões ou edições estão além do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Suporte da Microsoft Ciclo de vida.

Software afetado

Software Impacto máximo na segurança Classificação de severidade agregada Atualizações substituído
Microsoft Dynamics AX 4.0
Microsoft Dynamics AX 4.0 Service Pack 2[1](2920510) Negação de Serviço Importante Nenhum
Microsoft Dynamics AX 2009
Microsoft Dynamics AX 2009 Service Pack 1[1](2914058) Negação de Serviço Importante Nenhum
Microsoft Dynamics AX 2012 e Microsoft Dynamics AX 2012 R2
Microsoft Dynamics AX 2012[1](2914055) Negação de Serviço Importante Nenhum
Microsoft Dynamics AX 2012 R2[1](2914057) Negação de Serviço Importante Nenhum

[1]Esta atualização está disponível somente no Centro de Download da Microsoft, microsoft dynamics customersource e Microsoft Dynamics PartnerSource .

Perguntas frequentes sobre atualização

Por que as atualizações só estão disponíveis no Centro de Download da Microsoft, no Microsoft Dynamics CustomerSource e no Microsoft Dynamics PartnerSource?
Devido ao modelo de manutenção para atualizações do Microsoft Dynamics AX, a Microsoft está lançando essas atualizações apenas para o Centro de Download da Microsoft, o Microsoft Dynamics CustomerSource e o Microsoft Dynamics PartnerSource .

Estou usando uma versão mais antiga do software discutido neste boletim de segurança. O que devo fazer?
O software afetado listado neste boletim foi testado para determinar quais versões são afetadas. Outras versões já passaram do ciclo de vida de suporte. Para obter mais informações sobre o ciclo de vida do produto, consulte o site do ciclo de vida do Suporte da Microsoft.

Deve ser uma prioridade para os clientes que têm versões mais antigas do software migrarem para versões com suporte para evitar a exposição potencial a vulnerabilidades. Para determinar o ciclo de vida de suporte para sua versão de software, consulte Selecionar um produto para informações do ciclo de vida. Para obter mais informações sobre service packs para essas versões de software, consulte Política de suporte ao ciclo de vida do Service Pack.

Os clientes que precisam de suporte personalizado para softwares mais antigos devem entrar em contato com o representante da equipe de conta da Microsoft, o Gerente Técnico de Contas ou o representante de parceiro apropriado da Microsoft para obter opções de suporte personalizadas. Os clientes sem um Contrato Da Aliança, Premier ou Autorizado podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contato, consulte o site Informações mundiais da Microsoft , selecione o país na lista Informações de Contato e clique em Ir para ver uma lista de números de telefone. Quando você ligar, peça para falar com o gerente de vendas do Suporte Premier local. Para obter mais informações, consulte as Perguntas frequentes sobre a Política de Ciclo de Vida do Suporte da Microsoft.

Classificações de severidade e identificadores de vulnerabilidade

As classificações de severidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da explorabilidade da vulnerabilidade em relação à classificação de gravidade e ao impacto de segurança, consulte o Índice de Exploração no resumo do boletim de janeiro. Para obter mais informações, consulte Índice de exploração da Microsoft.

Classificação de severidade de vulnerabilidade e impacto máximo de segurança pelo software afetado
Software afetado Vulnerabilidade de DoS do Filtro de Consulta – CVE-2014-0261 Classificação de severidade agregada
Microsoft Dynamics AX 4.0
Microsoft Dynamics AX 4.0 Service Pack 2 Importante Negação de Serviço Importante
Microsoft Dynamics AX 2009
Microsoft Dynamics AX 2009 Service Pack 1 Importante Negação de Serviço Importante
Microsoft Dynamics AX 2012 e Microsoft Dynamics AX 2012 R2
Microsoft Dynamics AX 2012 Importante Negação de Serviço Importante
Microsoft Dynamics AX 2012 R2 Importante Negação de Serviço Importante

Vulnerabilidade de DoS do Filtro de Consulta – CVE-2014-0261

Existe uma vulnerabilidade de negação de serviço no Microsoft Dynamics AX que pode permitir que um invasor faça com que uma instância do AOS fique sem resposta.

Para exibir essa vulnerabilidade como uma entrada padrão na lista Vulnerabilidades e Exposições Comuns, consulte CVE-2014-0261.

Atenuando fatores

Mitigação refere-se a uma configuração, configuração comum ou prática recomendada geral, existente em um estado padrão, que poderia reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis em sua situação:

  • Para explorar essa vulnerabilidade, um invasor deve ser capaz de se autenticar no cliente do Microsoft Dynamics AX.

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essa vulnerabilidade.

Perguntas frequentes

Qual é o escopo da vulnerabilidade?
Essa é uma vulnerabilidade de negação de serviço.

O que causa a vulnerabilidade?
A vulnerabilidade é causada quando o Microsoft Dynamics AX não lida corretamente com a entrada do usuário.

O que um invasor pode usar a vulnerabilidade para fazer?
Um invasor que explorou essa vulnerabilidade com êxito pode fazer com que a instância do AOS de destino pare de responder às solicitações do cliente.

Como um invasor pode explorar a vulnerabilidade?
Um invasor autenticado pode enviar dados especialmente criados para uma instância do AOS afetada.

Quais sistemas estão principalmente em risco com a vulnerabilidade?
Os servidores que executam as versões afetadas do Microsoft Dynamics AX estão principalmente em risco devido a essa vulnerabilidade.

O que a atualização faz?
A atualização resolve a vulnerabilidade ajudando a garantir que o Microsoft Dynamics AX lide corretamente com os dados fornecidos por um usuário.

Quando este boletim de segurança foi emitido, essa vulnerabilidade foi divulgada publicamente?
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi emitido, a Microsoft recebeu algum relatório de que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não recebeu nenhuma informação para indicar que essa vulnerabilidade havia sido usada publicamente para atacar clientes quando este boletim de segurança foi originalmente emitido.

Ferramentas e diretrizes de detecção e implantação

Essas atualizações de segurança estão disponíveis apenas no Centro de Download da Microsoft, no Microsoft Dynamics CustomerSource e no Microsoft Dynamics PartnerSource .

Implantação de atualização de segurança

Microsoft Dynamics AX

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança para este software.

Nome do arquivo de atualização de segurança Para o Microsoft Dynamics AX 4.0:\ DynamicsAX4-KB2920510-SP2.EXE
\ Para o Microsoft Dynamics AX 2009:\ DynamicsAX2009-KB2914058-SP1.EXE
\ Para o Microsoft Dynamics AX 2012:\ DynamicsAX2012-KB2914055.EXE
\ Para o Microsoft Dynamics AX 2012 R2:\ DynamicsAX2012R2-KB2914057.EXE
Diretrizes de instalação Consulte o artigo da Base de Dados de Conhecimento da Microsoft 893082
Requisitos de reinicialização Depois de instalar essa atualização, você deve reiniciar o serviço AOS (Application Object Server). Talvez você também precise reiniciar o sistema.\ \ Em alguns casos, essa atualização não requer uma reinicialização do sistema. Se os arquivos necessários estiverem sendo usados, essa atualização exigirá uma reinicialização. Se esse comportamento ocorrer, será exibida uma mensagem que aconselha você a reiniciar.\ \ Para ajudar a reduzir a chance de que uma reinicialização seja necessária, interrompa todos os serviços afetados e feche todos os aplicativos que podem usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você pode ser solicitado a reiniciar, consulte Artigo da Base de Dados de Conhecimento da Microsoft 887012.
Informações de remoção Use o item Adicionar ou Remover Programas no Painel de Controle.
Informações do arquivo Para o Microsoft Dynamics AX 4.0:\ Consulte o artigo da Base de Dados de Conhecimento da Microsoft 2920510
\ Para o Microsoft Dynamics AX 2009:\ Consulte o artigo da Base de Dados de Conhecimento da Microsoft 2914058
\ Para o Microsoft Dynamics AX 2012:\ Consulte o artigo da Base de Dados de Conhecimento da Microsoft 2914055
\ Para o Microsoft Dynamics AX 2012 R2:\ Consulte o artigo da Base de Dados de Conhecimento da Microsoft 2914057
Verificação de chave do Registro Não aplicável

Agradecimentos

A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:

  • Andrey Maykov, desenvolvedor líder no projeto FTO, para relatar a vulnerabilidade do DoS do filtro de consulta (CVE-2014-0261)

Outras Informações

MAPP (Microsoft Active Protections Program)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações de vulnerabilidade para os principais provedores de software de segurança antes de cada versão mensal de atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis em provedores de software de segurança, acesse os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do MAPP (Microsoft Active Protections Program).

Suporte

Como obter ajuda e suporte para esta atualização de segurança

Isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são fornecidas "como estão" sem garantia de qualquer tipo. A Microsoft isenta todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação para uma finalidade específica. Em nenhum caso, a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, conseqüentes, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou a limitação da responsabilidade por danos conseqüentes ou incidentais, portanto, a limitação anterior pode não se aplicar.

Revisões

  • V1.0 (14 de janeiro de 2014): Boletim publicado.

Página gerada 2014-06-25 13:37Z-07:00.