MS02-023: Μη ελεγμένο buffer στη διαδικασία εργασίας ASP.NET (Αγγλικά)

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 322289 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Αυτό το αρχείο έχει αρχειοθετηθεί. Προσφέρεται “ως έχει” και δεν θα ενημερώνεται πια.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Συμπτώματα

Υπάρχει ένα ζήτημα ευπάθειας υπέρβασης buffer στο Microsoft ASP.NET. Ένας εισβολέας που θα εκμεταλλευόταν με επιτυχία αυτή την ευπάθεια ίσως να μπορούσε να προκαλέσει την επανεκκίνηση της εφαρμογής που εκτελείται στο διακομιστή Web. Επιπλέον, παρόλο που η Microsoft δεν έχει καταφέρει να το αποδείξει, κάποιος εισβολέας θα μπορούσε να εκμεταλλευτεί αυτή την ευπάθεια προκαλώντας την εκτέλεση κώδικα στο διακομιστή Web. Ο κώδικας θα μπορούσε να εκτελεστεί στο περιβάλλον εργασίας της διαδικασίας εργασίας ASP.NET (Aspnet_wp.exe) το οποίο, από προεπιλογή, χρησιμοποιεί λογαριασμό χωρίς δικαιώματα.

Αυτή η ευπάθεια επηρεάζει μόνο τις εφαρμογές ASP.NET που χρησιμοποιούν τη λειτουργία StateServer για τη διαχείριση πληροφοριών που αφορούν την κατάσταση της περιόδου λειτουργίας. Η λειτουργία StateServer δεν είναι η προεπιλεγμένη λειτουργία. Τέλος, αυτή η ευπάθεια επηρεάζει μόνο εκείνες τις εφαρμογές που χρησιμοποιούν τη λειτουργία StateServer και χρησιμοποιούν επίσης cookies. Αυτή η ευπάθεια δεν επηρεάζει τις εφαρμογές που χρησιμοποιούν τη λειτουργία StateServer χωρίς cookies.

Αιτία

Αυτή η ευπάθεια προκύπτει επειδή μια λειτουργία που επεξεργάζεται δεδομένα cookie στην υπηρεσία ASPState δεν είναι σε θέση να ελέγξει σωστά το μήκος των cookies που καταλήγουν σε αυτή.

Προτεινόμενη αντιμετώπιση

Προϋποθέσεις

Αυτή η ενημερωμένη έκδοση απαιτεί το Microsoft .NET Framework Service Pack 1. Για πρόσθετες πληροφορίες σχετικά με τον τρόπο λήψης του τελευταίου Service Pack του .NET Framework, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
318836 ΠΛΗΡΟΦΟΡΙΕΣ: Τρόπος απόκτησης του τελευταίου Service Pack του .NET Framework

Πληροφορίες λήψης

Για να επιλύσετε αυτό το ζήτημα, αποκτήστε το τελευταίο Service Pack για το Microsoft .NET Framework. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
318836 ΠΛΗΡΟΦΟΡΙΕΣ: Τρόπος απόκτησης του τελευταίου Service Pack του .NET Framework
Για δική σας διευκόλυνση, αυτή η ενημερωμένη έκδοση διατίθεται ξεχωριστά. Για τη λήψη της ενημερωμένης έκδοσης σχετικά με το ζήτημα αυτό, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://msdn.microsoft.com/netframework/downloads/updates/asphotfix.asp
Ημερομηνία κυκλοφορίας: 6 Ιουνίου 2002

Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης αρχείων υποστήριξης της Microsoft, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
119591 Τρόπος απόκτησης αρχείων υποστήριξης της Microsoft από ηλεκτρονικές υπηρεσίες
Η Microsoft εξέτασε αυτό το αρχείο για ιούς. Η Microsoft χρησιμοποίησε το πιο πρόσφατο λογισμικό εντοπισμού ιών που ήταν διαθέσιμο κατά την ημερομηνία δημοσίευσης του αρχείου. Το αρχείο είναι αποθηκευμένο σε διακομιστές με ενισχυμένη ασφάλεια, οι οποίοι βοηθούν στην αποτροπή μη εξουσιοδοτημένων αλλαγών στο αρχείο.

Επιλογές εγκατάστασης

Η ακόλουθη εντολή γραμμής εντολών εγκαθιστά την ενημερωμένη έκδοση χωρίς αλληλεπίδραση του χρήστη και χωρίς αναγκαστική επανεκκίνηση του υπολογιστή:
ndp10_qfem_q322289_en.exe /Q
ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Ανατρέξτε στα ακόλουθα ζητήματα εγκατάστασης και σημειώστε ότι ο υπολογιστής σας είναι ευάλωτος μέχρι να επανεκκινηθεί.

Ζητήματα εγκατάστασης

Για πρόσθετες πληροφορίες σχετικά με τα ζητήματα εγκατάστασης αυτού του ενημερωτικού δελτίου ασφαλείας, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
324292 ΠΛΗΡΟΦΟΡΙΕΣ: Ζητήματα εγκατάστασης σχετικά με την εγκατάσταση χωρίς την παρέμβαση του χρήστη του ενημερωτικού δελτίου ασφαλείας MS02-026

Πληροφορίες αρχείου

Τα ακόλουθα αρχεία αντιγράφονται στο φάκελο %WINDIR%\Microsoft.NET\Framework\v1.0.3705\:
   Έκδοση        Όνομα αρχείου
   -------------------------------
   1.0.3705.272  Aspnet_isapi.dll
   1.0.3705.272  Aspnet_wp.exe
   1.0.3705.272  Aspnet_regiis.exe
       --        Aspnet_perf.ini
       --        Aspnet_perf2.ini
   1.0.3705.272  System.Web.dll
				
Τα ακόλουθα αρχεία αντιγράφονται στο φάκελο %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\:
   Έκδοση        Όνομα αρχείου
   ------------------------------
   --            SmartNavIE5.js
   --            SmartNav.js
				

Κατάσταση

Η Microsoft έχει επιβεβαιώσει ότι αυτό το ζήτημα μπορεί να προκαλέσει κάποιο βαθμό ευπάθειας ασφαλείας στο Microsoft ASP.NET. Το ζήτημα αυτό διορθώθηκε για πρώτη φορά στο Service Pack 2 (SP2) του Microsoft .NET Framework.

Περισσότερες πληροφορίες

Για περισσότερες πληροφορίες σχετικά με αυτό το θέμα ευπάθειας, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.microsoft.com/technet/security/bulletin/MS02-026.asp
Οι μεταφρασμένες ενημερωμένες εκδόσεις κώδικα για αυτή την ευπάθεια (MS02-026) έχουν διαφορετικούς αριθμούς στη Γνωσιακή Βάση της Microsoft (Knowledge Base). Ο αριθμός της Γνωσιακής Βάσης (KB) και η αντίστοιχη γλώσσα για κάθε μεταφρασμένη ενημερωμένη έκδοση κώδικα εμφανίζονται στον ακόλουθο πίνακα.
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
Αριθμός Γνωσιακής Βάσης (KB)Γλώσσα
322294Γαλλικά
322295Ιταλικά
322296Ισπανικά
322298Ιαπωνικά
322299Απλοποιημένα κινέζικα
322300Παραδοσιακά κινέζικα
322301Κορεατικά

Ιδιότητες

Αναγν. άρθρου: 322289 - Τελευταία αναθεώρηση: Πέμπτη, 27 Φεβρουαρίου 2014 - Αναθεώρηση: 4.2
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft ASP.NET 1.0
  • Microsoft .NET Framework 1.0
Λέξεις-κλειδιά: 
kbnosurvey kbarchive kbbug kbfix kbnetframe100presp2fix kbnetframe100sp2fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB322289

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com