MS02-026: Ungeprüfter Puffer im ASP.NET-Workerprozess

Artikel-ID: 322289 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D322289
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
322289
(http://support.microsoft.com/kb/322289/EN-US/ )
MS02-026: Unchecked Buffer in ASP.NET Worker Process (English)
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

In Microsoft ASP.NET wurde eine Anfälligkeit für einen Puffer-Überlauf entdeckt. Wenn ein Angreifer diese Anfälligkeit erfolgreich ausnutzen könnte, wäre er in der Lage, einen Neustart der Anwendung, die auf dem Webserver ausgeführt wird, herbeiführen. Des Weiteren könnte der Angreifer diese Anfälligkeit dazu ausnutzen, Code auf dem Webserver auszuführen. Microsoft ist es allerdings bislang nicht gelungen, dies zu reproduzieren. Der Code würde innerhalb des Sicherheitskontexts des ASP.NET-Workerprozesses (Aspnet_wp.exe) ausgeführt, der standardmäßig ein Konto ohne Berechtigungen verwendet.

Von dieser Anfälligkeit sind ausschließlich ASP.NET-Anwendungen betroffen, die den StateServer-Modus verwenden, um Informationen zum Sitzungsstatus zu verwalten. Der StateServer-Modus ist nicht der Standardmodus. Des Weiteren betrifft diese Anfälligkeit nur diejenigen Anwendungen, die den StateServer-Modus und Cookies gleichzeitig verwenden. Diese Anfälligkeit betrifft keine Anwendungen, die den StateServer-Modus ohne Cookies einsetzen.
Zum Anfang | Ihr Feedback an uns

Ursache

Diese Sicherheitslücke ist auf eine Funktion zurückzuführen, die im ASPState-Dienst Cookie-Daten verarbeitet. Diese Funktion ist nicht in der Lage, die Länge der Cookies, die an sie übergeben werden, zu prüfen.
Zum Anfang | Ihr Feedback an uns

Lösung

Voraussetzungen

Dieses Update erfordert das Microsoft .NET Framework Service Pack 1.Weitere Informationen dazu, wie Sie dieses Service Pack erhalten können, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
318836
(http://support.microsoft.com/kb/318836/DE/ )
INFO: Wie Sie das neueste .NET Framework Service Pack erhalten

Informationen zum Download

Installieren Sie das neueste Service Pack für Microsoft .NET Framework, um dieses Problem zu beheben. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
318836
(http://support.microsoft.com/kb/318836/DE/ )
INFO: Wie Sie das neueste .NET Framework Service Pack erhalten
Dieses Update steht auch einzeln zur Verfügung. Rufen Sie folgende Webseite von Microsoft auf, um das einzelne Update für dieses Problem herunterzuladen:
http://msdn.microsoft.com/netframework/downloads/updates/asphotfix.asp
(http://msdn.microsoft.com/netframework/downloads/updates/asphotfix.asp)
Datum der Freigabe: 06. Juni 2002

Weitere Informationen über das Downloaden von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591
(http://support.microsoft.com/kb/119591/DE/ )
So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Installationsoptionen

Mithilfe des folgenden Befehls können Sie an der Eingabeaufforderung das Update installieren, ohne dass weitere Eingaben oder ein Neustart des Computers erforderlich sind:
ndp10_qfem_q322289_en.exe /Q
Warnung: Bitte beachten Sie die unten stehenden Punkte zur Installation, und berücksichtigen Sie, dass Ihr Computer erst nach einem Neustart vor diesem Problem geschützt ist.

Wichtige Punkte zur Installation

Weitere Informationen über Fragen und Probleme zu diesem Sicherheitsbulletin finden Sie in folgendem Artikel der Microsoft Knowledge Base:
324292
(http://support.microsoft.com/kb/324292/DE/ )
INFO: Installation Issues with Silent Install of Security Bulletin MS02-026

Dateiinformationen

Die folgenden Dateien werden in den Ordner "%WINDIR%\Microsoft.NET\Framework\v1.0.3705\" kopiert: 
   Version       Dateiname
   -------------------------------
   1.0.3705.272  Aspnet_isapi.dll
   1.0.3705.272  Aspnet_wp.exe
   1.0.3705.272  Aspnet_regiis.exe
       --        Aspnet_perf.ini
       --        Aspnet_perf2.ini
   1.0.3705.272  System.Web.dll
Die folgenden Dateien werden in den Ordner "%WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\" kopiert: 
   Version  Dateiname
   -----------------------
   --       SmartNavIE5.js
   --       SmartNav.js

Zum Anfang | Ihr Feedback an uns

Status

Microsoft hat bestätigt, dass dieses Problem zu einem gewissen Maße eine Sicherheitsanfälligkeit in Microsoft ASP.NET zur Folge haben kann. Dieses Problem wurde erstmals in Microsoft .NET Framework Service Pack 2 (SP2) korrigiert.
Zum Anfang | Ihr Feedback an uns

Weitere Informationen

Weitere Informationen zu dieser Anfälligkeit finden Sie auf folgender Microsoft-Website:
http://www.microsoft.com/technet/security/bulletin/MS02-026.asp
(http://www.microsoft.com/technet/security/bulletin/MS02-026.asp)
Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 322289 - Geändert am: Dienstag, 27. April 2004 - Version: 3.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft ASP.NET 1.0
  • Microsoft .NET Framework 1.0
Keywords: 
kbbug kbfix kbnetframe100presp2fix kbnetframe100sp2fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB322289
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Zum Anfang | Ihr Feedback an uns

Ihr Feedback an uns

 
Zum AnfangZum Anfang