MS02-026: Az ASP.NET munkavégző folyamat nem ellenőrzött puffert tartalmaz (angol nyelvű összetevő)

A cikk fordítása A cikk fordítása
Cikk azonosítója: 322289 - A cikkben érintett termékek listájának megtekintése.
A cikket archiválták. A továbbiakban a tartalma már nem frissül, csak jelenlegi állapotában lesz elérhető.
Az összes kibontása | Az összes összecsukása

A lap tartalma

A jelenség

A Microsoft ASP.NET szolgáltatás puffertúlcsordulásra visszavezethető biztonsági rést tartalmaz, amelyet kihasználva az esetleges támadó újraindíthatja a webkiszolgálón futó alkalmazást. Habár a Microsoft nem tapasztalta a jelenséget, a támadó arra is képes lehet, hogy kódot futtasson a webkiszolgálón. A kód futtatása az ASP.NET munkavégző folyamatának (Aspnet_wp.exe) biztonsági környezetében lehetséges, mivel az működéséhez alapértelmezés szerint jogosultságok nélküli fiókot használ.

A biztonsági rés csak azon ASP.NET-alkalmazásokat érinti, amelyek a munkamenetek állapotadatainak kezeléséhez a StateServer (egyébként nem alapértelmezett) üzemmódot alkalmazzák. A biztonsági rés csak a StateServer üzemmódot és cookie-kat is használó alkalmazásokra van hatással, a StateServer üzemmódot cookie-k nélkül használókra nincs.

Oka

A biztonsági rés oka az, hogy a cookie-adatokat az ASPState szolgáltatásban feldolgozó egyik függvény nem tudja helyesen ellenőrizni a neki átadott cookie-k hosszát.

A megoldás

Előfeltételek

A frissítés csak a Microsoft .NET-keretrendszer Service Pack 1 szervizcsomagjának megléte esetén telepíthető. A .NET-keretrendszer legújabb szervizcsomagjának beszerzéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
318836 Információ: A .NET-keretrendszer legújabb szervizcsomagjának beszerzése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Letöltési információ

A probléma megoldásához szerezze be a Microsoft .NET-keretrendszer legújabb szervizcsomagját. További információt a Microsoft tudásbázis következő cikkében talál a cikk számára kattintva:
318836 Információ: A .NET-keretrendszer legújabb szervizcsomagjának beszerzése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A hatékonyabb rendszerszervezés érdekében a frissítés önálló frissítésként is letölthető a Microsoft webhelyéről:
http://msdn.microsoft.com/netframework/downloads/updates/asphotfix.asp
Kiadás dátuma: 2002. június 6.

A Microsoft terméktámogatási fájljainak letöltéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét: ehhez a kiadás napján rendelkezésre álló legfrissebb vírusvédelmi szoftvert használta. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Telepítési beállítások

A következő parancssori paranccsal felhasználói beavatkozás nélkül telepítheti a frissítést, és a számítógép újraindítására sincs szükség:
ndp10_qfem_q322289_hu.exe /Q
Figyelem! Olvassa el figyelmesen a lenti telepítési tudnivalókat, és ne feledje, hogy az újraindításig számítógépe mindvégig sebezhető marad.

Telepítési tudnivalók

A cikkben ismertetett frissítés telepítésével kapcsolatos további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
324292 Információ: Az MS02-026. számú Security Bulletin cikkben ismertetett frissítés csendes telepítésével kapcsolatos tudnivalók (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Fájlinformáció

A telepítő a következő fájlokat másolja a %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ mappába:
   Verziószám    Fájlnév
   -------------------------------
   1.0.3705.272  Aspnet_isapi.dll
   1.0.3705.272  Aspnet_wp.exe
   1.0.3705.272  Aspnet_regiis.exe
       --        Aspnet_perf.ini
       --        Aspnet_perf2.ini
   1.0.3705.272  System.Web.dll
				
A következő fájlokat a %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\ mappába másolja a telepítő:
   Verziószám    Fájlnév
   -----------------------
   --            SmartNavIE5.js
   --            SmartNav.js
				

Állapot

A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a Microsoft ASP.NET-keretrendszerben. A hibát először a Microsoft .NET keretrendszer Service Pack 2 (SP2) csomagja javította.

További információ

A biztonsági résről a Microsoft webhelye nyújt további információt:
http://www.microsoft.com/technet/security/bulletin/MS02-026.asp
A biztonsági réshez (MS02-026) kiadott javítás honosított verziói eltérő számot kaptak a Microsoft Tudásbázisban: a megfelelő szám és az ahhoz tartozó nyelv megnevezése az alábbi táblázatban látható.
A táblázat összecsukásaA táblázat kibontása
Tudásbázisbeli számNyelv
322294Francia
322295Olasz
322296Spanyol
322298Japán
322299Egyszerűsített kínai
322300Hagyományos kínai
322301Koreai

Tulajdonságok

Cikk azonosítója: 322289 - Utolsó ellenőrzés: 2014. február 27. - Verziószám: 4.2
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft ASP.NET 1.0
  • Microsoft .NET Framework 1.0
Kulcsszavak: 
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbnetframe100presp2fix kbnetframe100sp2fix kbsecurity kbsecbulletin kbsechack KB322289
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com