MS02-026: Búfer sin comprobar en el proceso de trabajo de ASP.NET (español)

Id. de artículo: 322296 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Hay un error de saturación de búfer en Microsoft ASP.NET. Un atacante que pueda explotar esa vulnerabilidad podría provocar un reinicio de la aplicación que se está ejecutando en el servidor Web. Además, aunque Microsoft no haya podido demostrarlo, un atacante podría explotar esta vulnerabilidad para ejecutar código en el servidor Web. El código se podría ejecutar también en el contexto de seguridad del proceso de trabajo de ASP.NET (Aspnet_wp.exe), que de manera predeterminada utiliza una cuenta sin privilegios.

Esta vulnerabilidad sólo afecta a las aplicaciones de ASP.NET que usan el modo StateServer para administrar la información del estado de la sesión. El modo StateServer no es el modo predeterminado. Finalmente, esta vulnerabilidad sólo afecta a las aplicaciones que usan el modo StateServer y que también usan cookies. No afecta, en cambio, a las aplicaciones que usan el modo StateServer pero no usan cookies.

Causa

Esta vulnerabilidad se produce porque una función que procesa datos de cookies en el servicio ASPState no puede comprobar adecuadamente la longitud de las cookies que se le pasan.

Solución

Ahora hay disponible una revisión para la que Microsoft proporciona soporte técnico, pero sólo se diseñó para corregir el problema descrito en este artículo. Únicamente debe aplicarse en equipos que se consideren vulnerables a ataques. Para determinar el grado de vulnerabilidad de un equipo, debe tener en cuenta su accesibilidad física, la conectividad de red y a Internet, y otros factores. Consulte el Boletín de seguridad de Microsoft asociado como ayuda para determinar el grado de riesgo. Se efectuarán pruebas adicionales de esta revisión. Si su equipo está en riesgo, Microsoft recomienda que aplique la revisión lo antes posible. De lo contrario, espere al siguiente Service Pack de Microsoft .NET Framework que contenga la revisión.

Para resolver este problema inmediatamente, descargue la revisión siguiendo las instrucciones incluidas más adelante en este artículo o póngase en contacto con los Servicios de soporte técnico de Microsoft para obtenerla. Para obtener una lista completa con los números de teléfono del Servicio de soporte técnico de Microsoft e información acerca de los costos del soporte técnico, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;ES-ES;CNTACTMS
NOTA: en casos especiales, los costos derivados normalmente de las llamadas al soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Los costos habituales de soporte se aplicarán a las preguntas y temas de soporte técnico adicionales que no reúnan las condiciones necesarias para la actualización en cuestión.

Requisitos previos

Para esta corrección se necesita el Service Pack 1 de Microsoft .NET Framework.Para obtener información adicional acerca de cómo obtener el Service Pack más reciente para Windows XP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
318836 INFO: Cómo obtener el Service Pack más reciente para .NET Framework

Información de descarga

Para descargar la actualización correspondiente a este problema, visite el siguiente sitio Web de Microsoft:
http://msdn.microsoft.com/netframework/downloads/updates/asphotfix.asp
Fecha de lanzamiento: 6 de junio de 2002

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener Archivos de soporte técnico de Microsoft desde los servicios en línea
. Microsoft exploró este archivo en busca de virus con el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Opciones de instalación

La línea de comandos siguiente se instala la actualización sin la intervención del usuario y no se fuerza el reinicio del equipo:
ndp10_qfem_q322296_sp.exe /Q
ADVERTENCIA: vea abajo los problemas de la instalación y tenga en cuenta que su equipo es vulnerable hasta que lo reinicie.

Problemas de instalación

Para obtener información adicional en este boletín de seguridad acerca de los problemas de instalación, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
324292 INFO: Problemas relacionados con la instalación silenciosa del Boletín de seguridad MS02-026

Información sobre archivos

Se copian los siguientes archivos en la carpeta %WINDIR%\Microsoft.NET\Framework\v1.0.3705\:

Contraer esta tablaAmpliar esta tabla
VersiónNombre de archivo
------------------------------------------------
1.0.3705.272Aspnet_isapi.dll
1.0.3705.272Aspnet_wp.exe
1.0.3705.272Aspnet_regiis.exe
--Aspnet_perf.ini
--Aspnet_perf2.ini
1.0.3705.272


Se copian los siguientes archivos en la carpeta %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\:

Contraer esta tablaAmpliar esta tabla
VersiónNombre de archivo
------------------------------------------------
--SmartNavIE5.js
--SmartNav.js



Estado

Microsoft ha confirmado que este problema puede causar cierto grado de vulnerabilidad de la seguridad en Microsoft ASP.NET.

Más información

Para obtener más información acerca de esta vulnerabilidad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-026.asp

Propiedades

Id. de artículo: 322296 - Última revisión: viernes, 20 de febrero de 2004 - Versión: 3.2
La información de este artículo se refiere a:
  • Microsoft ASP.NET 1.0
  • Microsoft .NET Framework 1.1
Palabras clave: 
kbbug kbfix kbnetframe100presp2fix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB322296

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com