Microsoft Security Bulletin MS15-041 - Importante
Vulnerabilidade no .NET Framework pode permitir a divulgação não autorizada de informações (3048010)
Publicado: terça-feira, 14 de abril de 2015 | Atualizado: May 12, 2015
Versão: 2.0
Resumo executivo
Esta atualização de segurança elimina uma vulnerabilidade no Microsoft .NET Framework. A vulnerabilidade pode permitir a divulgação não autorizada de informações se um invasor enviar uma solicitação da Web especialmente criada a um servidor afetado que tenha mensagens de erro personalizadas desabilitadas. O invasor que explorar com êxito a vulnerabilidade poderá exibir partes de um arquivo de configuração da Web, o que pode expor informações confidenciais.
Esta atualização de segurança é classificada como Importante para Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5, Microsoft .NET Framework 4.5.1 e Microsoft .NET Framework 4.5.2 em versões afetadas do Microsoft Windows. Para obter mais informações, consulte a seção Softwares afetados.
A atualização de segurança elimina a vulnerabilidade removendo detalhes do conteúdo do arquivo das mensagens de erro que estavam facilitando a divulgação de informações. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas frequentes sobre a vulnerabilidade específica.
Para obter mais informações sobre essa atualização, consulte o artigo 3048010 da Base de Dados de Conhecimento Microsoft.
Softwares afetados
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
| Sistema operacional | Componente | Impacto máximo na segurança | Classificação de gravidade agregada | Atualizações substituídas |
|---|---|---|---|---|
| Windows Server 2003 | ||||
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (3037572) | Divulgação de informações | Importante | 2901115 no boletim MS14-009 |
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037577) | Divulgação de informações | Importante | 2901111 no boletim MS14-009 |
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Divulgação de informações | Importante | 2901110 em MS14-009 |
| Windows Server 2003 x64 Edição Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037577) | Divulgação de informações | Importante | 2901111 no boletim MS14-009 |
| Windows Server 2003 x64 Edição Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Divulgação de informações | Importante | 2901110 em MS14-009 |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium | Microsoft .NET Framework 2.0 Service Pack 2 (3037577) | Divulgação de informações | Importante | 2901111 no boletim MS14-009 |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium | Microsoft .NET Framework 4[1](3037578) | Divulgação de informações | Importante | 2901110 em MS14-009 |
| Windows Vista | ||||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037573) | Divulgação de informações | Importante | 2901113 em MS14-009 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Divulgação de informações | Importante | 2901110 em MS14-009 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgação de informações | Importante | 2901126 em MS14-009 |
| Windows Vista x64 Edição Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037573) | Divulgação de informações | Importante | 2901113 em MS14-009 |
| Windows Vista x64 Edição Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Divulgação de informações | Importante | 2901110 em MS14-009 |
| Windows Vista x64 Edição Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgação de informações | Importante | 2901126 em MS14-009 |
| Windows Server 2008 | ||||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037573) | Divulgação de informações | Importante | 2901113 em MS14-009 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Divulgação de informações | Importante | 2901110 em MS14-009 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgação de informações | Importante | 2901126 em MS14-009 |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037573) | Divulgação de informações | Importante | 2901113 em MS14-009 |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Divulgação de informações | Importante | 2901110 em MS14-009 |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgação de informações | Importante | 2901126 em MS14-009 |
| Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3037573) | Divulgação de informações | Importante | 2901113 em MS14-009 |
| Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 | Microsoft .NET Framework 4[1](3037578) | Divulgação de informações | Importante | 2901110 em MS14-009 |
| Windows 7 | ||||
| Windows 7 para sistemas de 32 bits Service Pack 1 | Microsoft .NET Framework 3.5.1 (3037574) | Divulgação de informações | Importante | 2901112 no boletim MS14-009 |
| Windows 7 para sistemas de 32 bits Service Pack 1 | Microsoft .NET Framework 4[1](3037578) | Divulgação de informações | Importante | 2901110 em MS14-009 |
| Windows 7 para sistemas de 32 bits Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgação de informações | Importante | 2901126 em MS14-009 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3037574) | Divulgação de informações | Importante | 2901112 no boletim MS14-009 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 4[1](3037578) | Divulgação de informações | Importante | 2901110 em MS14-009 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgação de informações | Importante | 2901126 em MS14-009 |
| Windows Server 2008 R2 | ||||
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3037574) | Divulgação de informações | Importante | 2901112 no boletim MS14-009 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 4[1](3037578) | Divulgação de informações | Importante | 2901110 em MS14-009 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgação de informações | Importante | 2901126 em MS14-009 |
| Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 (3037574) | Divulgação de informações | Importante | 2901112 no boletim MS14-009 |
| Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 | Microsoft .NET Framework 4[1](3037578) | Divulgação de informações | Importante | 2901110 em MS14-009 |
| Windows 8 e Windows 8.1 | ||||
| Windows 8 para sistemas de 32 bits | Microsoft .NET Framework 3.5 (3037575) | Divulgação de informações | Importante | 2901120 no boletim MS14-009 |
| Windows 8 para sistemas de 32 bits | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037580) | Divulgação de informações | Importante | 2901119 e 2901127 no boletim MS14-009 |
| Windows 8 para sistemas baseados em x64 | Microsoft .NET Framework 3.5 (3037575) | Divulgação de informações | Importante | 2901120 no boletim MS14-009 |
| Windows 8 para sistemas baseados em x64 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037580) | Divulgação de informações | Importante | 2901119 e 2901127 no boletim MS14-009 |
| Windows 8.1 para sistemas de 32 bits | Microsoft .NET Framework 3.5 (3037576) | Divulgação de informações | Importante | 2901125 no boletim MS14-009 |
| Windows 8.1 para sistemas de 32 bits | Microsoft .NET Framework 4.5.1/4.5.2 (3037579) | Divulgação de informações | Importante | 2901128 no boletim MS14-009 |
| Windows 8.1 para sistemas baseados em x64 | Microsoft .NET Framework 3.5 (3037576) | Divulgação de informações | Importante | 2901125 no boletim MS14-009 |
| Windows 8.1 para sistemas baseados em x64 | Microsoft .NET Framework 4.5.1/4.5.2 (3037579) | Divulgação de informações | Importante | 2901128 no boletim MS14-009 |
| Windows Server 2012 e Windows Server 2012 R2 | ||||
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3037575) | Divulgação de informações | Importante | 2901120 no boletim MS14-009 |
| Windows Server 2012 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037580) | Divulgação de informações | Importante | 2901119 e 2901127 no boletim MS14-009 |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3037576) | Divulgação de informações | Importante | 2901125 no boletim MS14-009 |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.5.1/4.5.2 (3037579) | Divulgação de informações | Importante | 2901128 no boletim MS14-009 |
| Windows RT e Windows RT 8.1 | ||||
| Windows RT | Microsoft .NET Framework 4.5/4.5.1/4.5.2[2](3037580) | Divulgação de informações | Importante | 2901119 e 2901127 no boletim MS14-009 |
| Windows RT 8.1 | Microsoft .NET Framework 4.5.1/4.5.2[2](3037579) | Divulgação de informações | Importante | 2901128 no boletim MS14-009 |
| Opção de instalação Server Core | ||||
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) | Microsoft .NET Framework 3.5.1 (3037574) | Divulgação de informações | Importante | 2901112 no boletim MS14-009 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) | Microsoft .NET Framework 4[1](3037578) | Divulgação de informações | Importante | 2901110 em MS14-009 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037581) | Divulgação de informações | Importante | 2901126 em MS14-009 |
| Windows Server 2012 (instalação Server Core) | Microsoft .NET Framework 3.5 (3037575) | Divulgação de informações | Importante | 2901120 no boletim MS14-009 |
| Windows Server 2012 (instalação Server Core) | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3037580) | Divulgação de informações | Importante | 2901119 e 2901127 no boletim MS14-009 |
| Windows Server 2012 R2 (instalação Server Core) | Microsoft .NET Framework 3.5 (3037576) | Divulgação de informações | Importante | 2901125 no boletim MS14-009 |
| Windows Server 2012 R2 (instalação Server Core) | Microsoft .NET Framework 4.5.1/4.5.2 (3037579) | Divulgação de informações | Importante | 2901128 no boletim MS14-009 |
[1]. NET Framework 4 e .NET Framework 4 Client Profile afetados.
[2]Esta actualização está disponível apenas através do Windows Update .
Perguntas frequentes sobre atualizações
Como determinar qual versão do Microsoft .NET Framework está instalada?
Você pode instalar e executar várias versões do .NET Framework em um sistema e pode instalar as versões em qualquer ordem. Para obter mais informações, consulte o artigo 318785 da Base de Dados de Conhecimento Microsoft.
Qual é a diferença entre o .NET Framework 4 e o .NET Framework 4 Client Profile?
Os pacotes redistribuíveis do .NET Framework versão 4 estão disponíveis em dois perfis: .NET Framework 4 e .NET Framework 4 Client Profile. O .NET Framework 4 Client Profile é um subconjunto do perfil do .NET Framework 4 otimizado para aplicativos cliente. Ele fornece funcionalidade para a maioria dos aplicativos cliente, incluindo recursos do Windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF) e ClickOnce. Isso permite uma implantação mais rápida e um pacote de instalação menor para aplicativos destinados ao .NET Framework 4 Client Profile. Para obter mais informações, consulte o artigo do MSDN, .NET Framework Client Profile.
Há vários pacotes de atualização disponíveis para alguns dos softwares afetados. Preciso instalar todas as atualizações listadas na tabela Softwares afetados para o software?
Sim. Os clientes devem aplicar todas as atualizações oferecidas para o software instalado em seus sistemas.
Preciso instalar essas atualizações de segurança em uma sequência específica?
Não. Várias atualizações para um determinado sistema podem ser aplicadas em qualquer sequência.
Classificações de gravidade e identificadores de vulnerabilidade
As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de abril.
| Classificação de gravidade da vulnerabilidade e impacto máximo na segurança por software afetado | ||
|---|---|---|
| Softwares afetados | Vulnerabilidade de divulgação não autorizada de informações ASP.NET - CVE-2015-1648 | Classificação de gravidade agregada |
| Microsoft .NET Framework 1.1 Service Pack 1 | ||
| Microsoft .NET Framework 1.1 Service Pack 1 no Microsoft Windows Server 2003 Service Pack 2 (3037572) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 2.0 Service Pack 2 | ||
| Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Microsoft Windows Server 2003 Service Pack 2 (3037577) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Microsoft Windows Server 2003 x64 Edition Service Pack 2 (3037577) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 2.0 Service Pack 2 quando instalado no Microsoft Windows Server 2003 para sistemas baseados em Itanium Service Pack 2 (3037577) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 2.0 Service Pack 2 no Windows Vista Service Pack 2 (3037573) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 2.0 Service Pack 2 no Windows Vista x64 Edition Service Pack 2 (3037573) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para sistemas de 32 bits Service Pack 2 (3037573) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (3037573) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 2.0 Service Pack 2 no Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 (3037573) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 3.5 | ||
| Microsoft .NET Framework 3.5 no Windows 8 para sistemas de 32 bits (3037575) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 3.5 no Windows 8 para sistemas baseados em x64 (3037575) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 3.5 no Windows Server 2012 (3037575) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 3.5 no Windows Server 2012 (instalação Server Core) (3037575) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 3.5 no Windows 8.1 para sistemas de 32 bits (3037576) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 3.5 no Windows 8.1 para sistemas baseados em x64 (3037576) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 3.5 no Windows Server 2012 R2 (3037576) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 3.5 no Windows Server 2012 R2 (instalação Server Core) (3037576) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 3.5.1 | ||
| Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas de 32 bits Service Pack 1 (3037574) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 3.5.1 no Windows 7 para sistemas baseados em x64 Service Pack 1 (3037574) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (3037574) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) (3037574) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 3.5.1 no Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 (3037574) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4 | ||
| Microsoft .NET Framework 4 quando instalado no Windows Server 2003 Service Pack 2 (3037578)[1] | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4 quando instalado no Windows Server 2003 x64 Edition Service Pack 2 (3037578)[1] | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4 quando instalado no Windows Server 2003 com SP2 para sistemas baseados em Itanium (3037578)[1] | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4 no Windows Vista Service Pack 2 (3037578)[1] | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4 no Windows Vista x64 Edition Service Pack 2 (3037578)[1] | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4 quando instalado no Windows Server 2008 para sistemas de 32 bits Service Pack 2 (3037578)[1] | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4 quando instalado no Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (3037578)[1] | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4 quando instalado no Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 (3037578)[1] | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4 quando instalado no Windows 7 para sistemas de 32 bits Service Pack 1 (3037578)[1] | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4 quando instalado no Windows 7 para sistemas baseados em x64 Service Pack 1 (3037578)[1] | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4 quando instalado no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (3037578)[1] | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4 quando instalado no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) (3037578)[1] | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4 quando instalado no Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 (3037578)[1] | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 | ||
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quando instalado no Windows Vista Service Pack 2 (3037581) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quando instalado no Windows Vista x64 Edition Service Pack 2 (3037581) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quando instalado no Windows Server 2008 para sistemas de 32 bits Service Pack 2 (3037581) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4/4.5.1/4.5.2 quando instalado no Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (3037581) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quando instalado no Windows 7 para sistemas de 32 bits Service Pack 1 (3037581) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quando instalado no Windows 7 para sistemas baseados em x64 Service Pack 1 (3037581) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quando instalado no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (3037581) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quando instalado no Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) (3037581) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 no Windows 8 para sistemas de 32 bits (3037580) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5.1/4.5.2 no Windows 8.1 para sistemas de 32 bits (3037579) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 no Windows 8 para sistemas baseados em x64 (3037580) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5.1/4.5.2 no Windows 8.1 para sistemas baseados em x64 (3037579) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 no Windows Server 2012 (3037580) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 no Windows Server 2012 (instalação Server Core) (3037580) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5.1/4.5.2 no Windows Server 2012 R2 (3037579) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5.1/4.5.2 no Windows Server 2012 R2 (instalação Server Core) (3037579) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 no Windows RT (3037580) | Divulgação de Informações Importantes | Importante |
| Microsoft .NET Framework 4.5.1/4.5.2 no Windows RT 8.1 (3037579) | Divulgação de Informações Importantes | Importante |
[1]. NET Framework 4 e .NET Framework 4 Client Profile afetados.
Informações de vulnerabilidade
Vulnerabilidade de divulgação não autorizada de informações ASP.NET - CVE-2015-1648
Existe uma vulnerabilidade de divulgação não autorizada de informações em ASP.NET que é causada quando ASP.NET manipula incorretamente determinadas solicitações em sistemas que têm mensagens de erro personalizadas desabilitadas. O invasor que explorar com êxito a vulnerabilidade poderá exibir partes de um arquivo de configuração da Web, o que pode expor informações confidenciais.
Para explorar essa vulnerabilidade, um invasor pode enviar uma solicitação da Web especialmente criada a um servidor afetado com a intenção de provocar uma mensagem de erro que possa divulgar informações referentes à linha de origem que originou a exceção. Em última análise, isso poderia divulgar informações que não deveriam ser acessíveis. A atualização de segurança elimina a vulnerabilidade removendo detalhes do conteúdo do arquivo das mensagens de erro que estavam facilitando a divulgação de informações.
Por padrão, ASP.NET aplicativos não são expostos a essa vulnerabilidade porque estão configurados para não exibir mensagens de erro detalhadas para usuários remotos. Às vezes, os desenvolvedores ativam mensagens de erro detalhadas para coletar informações e, em seguida, não conseguem desativá-las, o que exporia o aplicativo a essa vulnerabilidade.
A configuração padrão no web.config é a seguinte:
<customerrors mode="remoteOnly">
Em um ambiente de produção, a prática recomendada veria essa entrada alterada para o seguinte:
</customerrors><customerrors mode="On" defaultredirect="ErrorPage.htm">
Como regra geral, em ambientes de produção, os desenvolvedores nunca devem usar o seguinte:
</customerrors><customerrors mode="off">
Observe que as mensagens de erro são personalizáveis com base no código de erro. Para obter mais informações, consulte customErrors Element (ASP.NET Settings Schema).
Como uma proteção adicional contra a desativação acidental de erros personalizados, as administrações de máquina podem ativar o modo de varejo. Consulte a solução alternativa relacionada neste boletim para obter mais informações.
A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.
Fatores atenuantes
Os seguintes fatores atenuantes podem ser úteis em sua situação:
- Somente os servidores IIS que servem mensagens de erro detalhadas são afetados; É improvável que os servidores de produção sejam afetados.
Soluções Alternativas
As seguintes soluções alternativas podem ser úteis em sua situação:
Configurar o .NET no modo de varejo em todos os servidores Web
Nos arquivos machine.config de todos os servidores Web, adicione a configuração "<deployment retail="true" />" à seção "system.web" da seção "configuration".
Em sistemas de 32 bits, machine.config é encontrado em %windir%\Microsoft.NET\Framework\[version]\config\machine.config.
Em sistemas de 64 bits, machine.config é encontrado em %windir%\Microsoft.NET\Framework64\[version]\config\machine.config.
Para obter mais informações sobre essa configuração, consulte Elemento de implantação (esquema de configurações ASP.NET).
Impacto da solução alternativa. Todas as ASP.NET mensagens de erro detalhadas de todos os sites em cada servidor serão suprimidas.
Como desfazer a solução alternativa.
Para desfazer a solução alternativa, remova a configuração que foi adicionada por meio deste procedimento.
Habilitar erros personalizados para todos os sites
Nos arquivos web.config de todos os sites, verifique se a configuração "customErrors" (na seção "system.web" da seção "configuration") não está definida como "off". Os valores seguros são "on", "remoteonly" ou nenhuma configuração.
Para obter mais informações sobre a configuração customErrors, consulte customErrors Element (ASP.NET Settings Schema).
Impacto da solução alternativa. Todas as ASP.NET mensagens de erro detalhadas de todos os sites serão suprimidas.
Como desfazer a solução alternativa.
Para desfazer a solução alternativa, reverta as configurações que foram estabelecidas por meio deste procedimento.
Implantação de atualização de segurança
Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (14 de abril de 2015): Boletim publicado.
- V2.0 (12 de maio de 2015): Boletim relançado para resolver problemas com a atualização de 3037580 para o Microsoft .NET Framework 4.5/4.5.1/4.5.2 em edições afetadas do Microsoft Windows. Os clientes que executam essas versões do .NET Framework são incentivados a instalar a nova versão da atualização do 3037580 para se protegerem da vulnerabilidade discutida neste boletim. Consulte o Artigo 3037580 da Base de Dados de Conhecimento Microsoft para obter mais informações.
Página gerada em 06/05/2015 13:24Z-07:00.