Gu�a de implementaci�n para la actualizaci�n de seguridad 2638420, seg�n se describe en MS11-100

Id. de art�culo: 2659968 - Ver los productos a los que se aplica este art�culo

La actualizaci�n de seguridad 2638420 (que se describen en el bolet�n de seguridad MS11-100) cambia la manera en que ASP.NET crea vales de autenticaci�n de formularios. El nuevo comportamiento no es compatible con el comportamiento anterior. Los servidores que usan el comportamiento anterior no pueden leer los vales que se generan mediante el comportamiento nuevo y viceversa. Por lo tanto, si se emplean aplicaciones que usan la autenticaci�n de formularios, se deben tomar medidas espec�ficas al implementar la actualizaci�n de seguridad 2638420 para asegurarse de que todos los servidores cambien al comportamiento nuevo de manera simult�nea.

Gu�a de implementaci�n

Debido al cambio en el comportamiento, los administradores cuyas aplicaciones usan la autenticaci�n de formularios deben tomar medidas espec�ficas al implementar la actualizaci�n de seguridad 2638420 para asegurarse de que todos los servidores cambien al comportamiento nuevo de manera simult�nea.

Para determinar si la aplicaci�n usa la autenticaci�n de formularios, consulte el archivo System.web. Las aplicaciones que emplean la autenticaci�n de formularios usan la siguiente entrada en el archivo System.web:

Notas

El modo de autenticaci�n predeterminado es "Windows".
ASP.NET solo usa la autenticaci�n de formularios si se configura expl�citamente para ello.

Si emplea aplicaciones que usan la autenticaci�n de formularios, deber� implementar la actualizaci�n de seguridad 2638420 mediante uno de los m�todos siguientes para asegurarse de que los sitios web sigan funcionando correctamente.

M�todo 1
Implementar la actualizaci�n de seguridad 2638420 en todos los servidores activos de la granja de servidores web ASP .NET al mismo tiempo. Para ello, siga estos pasos:�

Quite la mitad de los servidores de la granja de servidores web de los turnos del equilibrador de carga.
Instale la actualizaci�n en dichos servidores.
Vuelva a agregar los servidores al turno y, al mismo tiempo, ponga los servidores restantes fuera de servicio para realizar la actualizaci�n.

M�todo 2
Si no puede implementar la actualizaci�n de seguridad 2638420 a todos los servidores de la granja de servidores, use este m�todo.

Nota Este m�todo no es recomendado. Cuando establezca este modificador, puede instalar la actualizaci�n de seguridad en algunos servidores de la granja de servidores y seguir trabajando con el comportamiento anterior. No obstante, los servidores que usen este modificador de configuraci�n estar�n en un estado no seguro y no sacar�n partido de las ventajas que ofrece la actualizaci�n de seguridad. Por tanto, el modificador de configuraci�n deber�a quitarse para habilitar el nuevo comportamiento seguro inmediatamente despu�s de la implementaci�n de la actualizaci�n de seguridad 2638420 en todos los servidores de la granja de servidores.

Establezca un modificador de compatibilidad en el archivo Web.config o Machine.config antes de instalar la actualizaci�n de seguridad 2638420 para forzar el comportamiento anterior despu�s de la instalaci�n de la actualizaci�n. Para ello, siga estos pasos:�

Abra el archivo Web.config o Machine.config mediante un editor de texto, tal como Bloc de notas.
Agregue el texto siguiente y guarde el archivo:
<appSettings>
<add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
</appSettings>
No es necesario reiniciar el equipo o los servicios despu�s de realizar la actualizaci�n y guardar el archivo Web.config o Machine.config files. La notificaci�n de cambios en la configuraci�n aplicar� autom�ticamente el grupo de aplicaciones.

Los archivos Web.config se encuentran en las ubicaciones siguientes:

.NET Framework versiones 4.0 a 4.5

C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Web.config

.NET Framework versiones 2.0 a 3.5 SP1

C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\Web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\Web.config

En un equipo de 32 bits, solo existir� la carpeta Framework. En un equipo de 64 bits, existir�, las carpetas Framework y Framework64. Por tanto, si cuenta con grupos de aplicaciones de 32 bits y 64 bits que ejecutan una combinaci�n de CLR 2 + CLR 4, deber� agregar la entrada a los cuatro archivos.

Si tambi�n agrega la entrada <appSettings> a estos archivos de configuraci�n, el cambio se aplicar� en todo el sistema.

Volver al principio | Enviar comentarios

Problemas conocidos

Error de descifrado del vale despu�s de la instalaci�n de la actualizaci�n de seguridad 2638420

Tras la habilitaci�n del nuevo comportamiento de vales, se invalidar�n todos los vales de autenticaci�n de formularios que se generan mediante el comportamiento anterior. Cuando se produce este problema, se cierra la sesi�n de los usuarios finales y es posible que los administradores del servidor experimenten errores de descifrado del vale.

Asimismo, se registra el siguiente mensaje de error en el registro de eventos:

Nombre de registro: Aplicaci�n
Id. de evento: 1315
C�digo de evento: 4005
Mensaje de evento: error de autenticaci�n de formularios para la solicitud. Raz�n: el vale suministrado no es v�lido.

Estos errores pueden provocar un comportamiento inesperado. Por ejemplo, pueden producirse errores "HTTP 401" o "HTTP 302" si las p�ginas web se protegen mediante un elemento <authorization>.

Tras instalar la actualizaci�n de seguridad 2638420, se espera que los administradores experimenten varias incidencias de estos errores de descifrado de vales debido a que los vales generados anteriormente habr�n expirado. El n�mero y la frecuencia de errores deber�a disminuir con el tiempo a medida que se generen nuevos vales. Si los errores de descifrado contin�an durante un periodo prolongado despu�s de instalarse la actualizaci�n de seguridad, es posible que algunos de los servidores de la granja de servidores est�n usando el comportamiento de vales anterior. Por ejemplo, este problema puede producirse si se cumple alguna de las condiciones siguientes:
- Uno o m�s servidores no se actualizaron con la actualizaci�n de seguridad 2638420.
- Uno o m�s servidores tienen establecido el modificador de compatibilidad mencionado anteriormente. El modificador de compatibilidad se describe anteriormente en este art�culo.

Volver al principio | Enviar comentarios

M�s informaci�n

Ya no se admite el modificador de configuraci�n TicketCompatibilityMode

Dado que la actualizaci�n de seguridad 2638420 cambia el formato de los vales de autenticaci�n, si se instala y habilita esta el modificador de configuraci�n <forms/ticketCompatibilityMode> dejar� de ser compatible.

Para obtener m�s informaci�n acerca del modificador de seguridad <forms/ticketCompatibilityMode>, visite el siguiente sitio web de MSDN:

Informaci�n general acerca del modificador de configuraci�n <forms/ticketCompatibilityMode>

(http://msdn.microsoft.com/es-es/library/1d3t3c61.aspx)

Volver al principio | Enviar comentarios

Nota: es un art�culo de "PUBLICACI�N R�PIDA" creado directamente por la organizaci�n de soporte t�cnico de Microsoft. La informaci�n aqu� contenida se proporciona como est�, como respuesta a problemas que han surgido. Como consecuencia de la rapidez con la que lo hemos puesto disponible, los materiales podr�an incluir errores tipogr�ficos y pueden ser revisados en cualquier momento sin previo aviso. Vea las Condiciones de uso

(http://go.microsoft.com/fwlink/?LinkId=151500)

para otras consideraciones

Volver al principio | Enviar comentarios