MS02-026: Ukontrolleret buffer i ASP.NET Worker-processen (engelsk)

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 322289 - Få vist de produkter, som denne artikel refererer til.
Denne artikel er blevet arkiveret. Den vises "som den er og forefindes" og opdateres ikke længere.
Udvid alle | Skjul alle

På denne side

Symptomer

Der findes en svaghed omkring bufferoverløb i Microsoft ASP.NET. En hacker kan udnytte svagheden til at genstarte det program, der kører på webserveren. Selvom Microsoft ikke har været i stand til at gengive fejlen, kan en hacker udnytte svagheden til at udføre kode på webserveren. Koden kan køres i sikkerhedssammenhængen for ASP.NET Worker-processen (Aspnet_wp.exe), der som standard bruger en konto uden rettigheder.

Svagheden påvirker kun ASP.NET-programmer, der bruger tilstanden StateServer til at administrere oplysninger om sessionsstatus. Tilstanden StateServer er ikke standardtilstanden. Svagheden påvirker kun programmer, der bruger tilstanden StateServer, og som også bruger cookies. Svagheden påvirker ikke programmer, der bruger tilstanden StateServer uden cookies.

Årsag

Svagheden kan opstå, da en funktion i tjenesten ASPState, der behandler cookiedata, ikke kontrollerer længden af den cookie, der overføres til den, korrekt.

Løsning

Forudsætninger

Denne opdatering kræver Microsoft .NET Framework Service Pack 1. Yderligere oplysninger om, hvordan du anskaffer den nyeste Service Pack til .NET Framework, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
318836 INFO: Sådan fås den nyeste .NET Framework Service Pack

Oplysninger om overførsel

Du kan løse problemet ved at få fat i den nyeste Service Pack til Microsoft .NET Framework. Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
318836 INFO: Sådan fås den nyeste .NET Framework Service Pack (artiklen er evt. på engelsk)
Opdateringen kan også hentes separat. Hvis du vil hente den separate opdatering til løsning af dette problem, skal du besøge følgende Microsoft-websted:
http://msdn.microsoft.com/netframework/downloads/updates/asphotfix.asp
Udgivelsesdato: 06.06.02

Yderligere oplysninger om, hvordan du henter filer fra Microsoft Support, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
119591 Sådan hentes Microsoft-supportfiler på onlinetjenester
Microsoft har scannet denne fil for virus. Dertil har Microsoft anvendt de nyeste antivirusprogrammer, der var tilgængelige på det tidspunkt, da filen blev lagt ud. Filen gemmes på servere med forbedret sikkerhed, der medvirker til at forhindre uautoriserede ændringer af filen.

Installationsoplysninger

Du kan skrive følgende på kommandolinjen for at installere opdateringen uden selv at foretage brugerinput og uden at tvinge computeren til at genstarte:
ndp10_qfem_q322289_en.exe /Q
ADVARSEL! Se beskrivelsen af installationsproblemer nedenfor, og vær opmærksom på, at computeren er sårbar, indtil du genstarter den.

Installationsproblemer

Yderligere oplysninger om installationsproblemer i denne sikkerhedsbulletin finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
324292 INFO: Installationsproblemer med installation uden brugerinput i sikkerhedsbulletin MS02-026 (artiklen er evt. på engelsk)

Filoplysninger

Følgende filer kopieres til mappen %WINDIR%\Microsoft.NET\Framework\v1.0.3705\:
   Version       Filnavn
   -------------------------------
   1.0.3705.272  Aspnet_isapi.dll
   1.0.3705.272  Aspnet_wp.exe
   1.0.3705.272  Aspnet_regiis.exe
       --        Aspnet_perf.ini
       --        Aspnet_perf2.ini
   1.0.3705.272  System.Web.dll
				
Følgende filer kopieres til mappen %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\:
   Version       Filnavn
   -----------------------
   --       SmartNavIE5.js
   --       SmartNav.js
				

Status

Microsoft bekræfter, at dette problem kan medføre en vis sikkerhedsrisiko i Microsoft ASP.NET. Problemet blev først rettet i Microsoft .NET Framework Service Pack 2 (SP2).

Yderligere Information

Yderligere oplysninger om denne svaghed finder du på følgende Microsoft-websted:
http://www.microsoft.com/technet/security/bulletin/MS02-026.asp
De lokaliserede programrettelser til denne svaghed (MS02-026) har forskellige numre i Microsoft Knowledge Base. I nedenstående tabel kan du se numrene på artiklerne for de enkelte sprog.
Skjul tabellenUdvid tabellen
ArtikelnummerSprog
322294Fransk
322295Italiensk
322296Spansk
322298Japansk
322299Kinesisk (forenklet)
322300Kinesisk (traditionelt)
322301Koreansk

Egenskaber

Artikel-id: 322289 - Seneste redigering: 27. februar 2014 - Redigering: 4.2
Oplysningerne i denne artikel gælder:
  • Microsoft ASP.NET 1.0
  • Microsoft .NET Framework 1.0
Nøgleord: 
kbnosurvey kbarchive kbbug kbfix kbnetframe100presp2fix kbnetframe100sp2fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB322289

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com