MS02-026: Buffer non controllato nel processo di lavoro ASP.NET (italiano)

Identificativo articolo: 322295 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

In Microsoft ASP.NET esiste una vulnerabilitÓ relativa al sovraccarico del buffer. Un utente non autorizzato che sia riuscito a sfruttare tale vulnerabilitÓ potrebbe causare il riavvio dell?applicazione in esecuzione sul server Web. Inoltre, nonostante Microsoft non abbia potuto dimostrarlo, un utente non autorizzato potrebbe sfruttare questa vulnerabilitÓ per far eseguire codice sul server Web. Il codice potrebbe essere eseguito nel contesto di protezione del processo di lavoro ASP.NET (Aspnet_wp.exe), che per impostazione predefinita utilizza un account senza privilegi.

Questa vulnerabilitÓ riguarda solo le applicazioni ASP.NET che utilizzano la modalitÓ StateServer per gestire le informazioni sullo stato della sessione. StateServer non Ŕ la modalitÓ predefinita. Infine, tale vulnerabilitÓ riguarda solo le applicazioni che utilizzano la modalitÓ StateServer e anche i cookie. Le applicazioni che utilizzano la modalitÓ StateServer senza cookie non sono interessate da questa vulnerabilitÓ.

Cause

Questa vulnerabilitÓ si verifica perchÚ una funzione che elabora i dati relativi ai cookie nel servizio ASPState non pu˛ verificare correttamente la lunghezza dei cookie passati ad essa.

Risoluzione

╚ disponibile una correzione supportata da Microsoft, che Ŕ tuttavia destinata esclusivamente alla correzione del problema descritto in questo articolo. Applicarla solo ai computer che si ritengono soggetti al rischio di attacchi. Per determinare il livello di rischio cui Ŕ soggetto il computer, valutarne attentamente il grado di accessibilitÓ fisica, la connessione di rete e a Internet e altri fattori. Vedere il relativo Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese) per determinare il livello di rischio. ╚ possibile che su questa correzione vengano eseguite ulteriori verifiche. Se il computer Ŕ a rischio, si consiglia di applicare la correzione dell'errore immediatamente. In caso contrario si consiglia di attendere la versione successiva del service pack di Microsoft .NET Framework contenente tale correzione.

Per risolvere immediatamente questo problema, scaricare la correzione come indicato in questo articolo oppure contattare il Servizio Supporto Tecnico Clienti Microsoft. Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi dell'assistenza, visitare il sito Web Microsoft all'indirizzo:
http://support.microsoft.com/default.aspx?scid=fh;IT;CNTACT
NOTA: in casi particolari, le spese normalmente addebitate per le chiamate al Servizio Supporto Tecnico Clienti Microsoft potrebbero essere annullate qualora un addetto del Servizio Supporto Tecnico Clienti Microsoft dovesse determinare che uno specifico aggiornamento risolverÓ il problema. I normali costi del Servizio Supporto Tecnico Clienti verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

Prerequisiti

Questo aggiornamento richiede Microsoft .NET Framework Service Pack 1. Per ulteriori informazioni su come ottenere il service pack pi¨ recente per .NET Framework, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
318836 INFO: Download del service pack pi¨ recente per .NET Framework

Informazioni sul download

Per scaricare l'aggiornamento per questo problema, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://msdn.microsoft.com/netframework/downloads/updates/asphotfix.asp
Data di rilascio: 6 giugno 2002

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Opzioni di installazione

Con la seguente riga di comando l'aggiornamento viene installato senza intervento dell'utente e senza richiedere il riavvio del computer:
ndp10_qfem_q322295_it.exe /Q
AVVISO: Leggere la sezione Problemi di installazione di seguito. Si noti che il computer rimane vulnerabile finchÚ non viene riavviato.

Problemi di installazione

Per ulteriori informazioni sui problemi di installazione di questo bollettino sulla sicurezza, fare clic sul numero dell'articolo della Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
324292 INFO: Problemi relativi all'installazione invisibile all'utente del Bollettino sulla sicurezza MS02-026

Informazioni sui file

I seguenti file vengono copiati nella cartella %WINDIR%\Microsoft.NET\Framework\v1.0.3705\:
   Versione      Nome file     
   -------------------------------
   1.0.3705.272  Aspnet_isapi.dll
   1.0.3705.272  Aspnet_wp.exe
   1.0.3705.272  Aspnet_regiis.exe
       --        Aspnet_perf.ini
       --        Aspnet_perf2.ini
   1.0.3705.272  System.Web.dll
I seguenti file vengono copiati nella cartella %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\:
   Versione      Nome file     
   ----------------------------
   --            SmartNavIE5.js
   --            SmartNav.js

Status

Microsoft ha confermato che questo problema potrebbe comportare rischi di protezione in Microsoft ASP.NET.

Informazioni

Per ulteriori informazioni su questa vulnerabilitÓ, vedere il seguente Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese):
http://www.microsoft.com/technet/security/bulletin/MS02-026.asp

ProprietÓ

Identificativo articolo: 322295 - Ultima modifica: venerdý 20 febbraio 2004 - Revisione: 3.2
Le informazioni in questo articolo si applicano a:
  • Microsoft ASP.NET 1.0
  • Microsoft .NET Framework 1.0
Chiavi:á
kbbug kbfix kbnetframe100presp2fix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB322295
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com