MS02-026: Az ASP.NET munkavégző folyamat nem ellenőrzött puffert tartalmaz (angol nyelvű összetevő)

A cikk fordítása A cikk fordítása
Cikk azonosítója: 322289 - A cikkben érintett termékek listájának megtekintése.
A cikket archiválták. A továbbiakban a tartalma már nem frissül, csak jelenlegi állapotában lesz elérhető.
Az összes kibontása | Az összes összecsukása

A lap tartalma

A jelenség

A Microsoft ASP.NET szolgáltatás puffertúlcsordulásra visszavezethető biztonsági rést tartalmaz, amelyet kihasználva az esetleges támadó újraindíthatja a webkiszolgálón futó alkalmazást. Habár a Microsoft nem tapasztalta a jelenséget, a támadó arra is képes lehet, hogy kódot futtasson a webkiszolgálón. A kód futtatása az ASP.NET munkavégző folyamatának (Aspnet_wp.exe) biztonsági környezetében lehetséges, mivel az működéséhez alapértelmezés szerint jogosultságok nélküli fiókot használ.

A biztonsági rés csak azon ASP.NET-alkalmazásokat érinti, amelyek a munkamenetek állapotadatainak kezeléséhez a StateServer (egyébként nem alapértelmezett) üzemmódot alkalmazzák. A biztonsági rés csak a StateServer üzemmódot és cookie-kat is használó alkalmazásokra van hatással, a StateServer üzemmódot cookie-k nélkül használókra nincs.

Oka

A biztonsági rés oka az, hogy a cookie-adatokat az ASPState szolgáltatásban feldolgozó egyik függvény nem tudja helyesen ellenőrizni a neki átadott cookie-k hosszát.

A megoldás

Előfeltételek

A frissítés csak a Microsoft .NET-keretrendszer Service Pack 1 szervizcsomagjának megléte esetén telepíthető. A .NET-keretrendszer legújabb szervizcsomagjának beszerzéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
318836 Információ: A .NET-keretrendszer legújabb szervizcsomagjának beszerzése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Letöltési információ

A probléma megoldásához szerezze be a Microsoft .NET-keretrendszer legújabb szervizcsomagját. További információt a Microsoft tudásbázis következő cikkében talál a cikk számára kattintva:
318836 Információ: A .NET-keretrendszer legújabb szervizcsomagjának beszerzése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A hatékonyabb rendszerszervezés érdekében a frissítés önálló frissítésként is letölthető a Microsoft webhelyéről:
http://msdn.microsoft.com/netframework/downloads/updates/asphotfix.asp
Kiadás dátuma: 2002. június 6.

A Microsoft terméktámogatási fájljainak letöltéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét: ehhez a kiadás napján rendelkezésre álló legfrissebb vírusvédelmi szoftvert használta. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Telepítési beállítások

A következő parancssori paranccsal felhasználói beavatkozás nélkül telepítheti a frissítést, és a számítógép újraindítására sincs szükség:
ndp10_qfem_q322289_hu.exe /Q
Figyelem! Olvassa el figyelmesen a lenti telepítési tudnivalókat, és ne feledje, hogy az újraindításig számítógépe mindvégig sebezhető marad.

Telepítési tudnivalók

A cikkben ismertetett frissítés telepítésével kapcsolatos további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
324292 Információ: Az MS02-026. számú Security Bulletin cikkben ismertetett frissítés csendes telepítésével kapcsolatos tudnivalók (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Fájlinformáció

A telepítő a következő fájlokat másolja a %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ mappába:
   Verziószám    Fájlnév
   -------------------------------
   1.0.3705.272  Aspnet_isapi.dll
   1.0.3705.272  Aspnet_wp.exe
   1.0.3705.272  Aspnet_regiis.exe
       --        Aspnet_perf.ini
       --        Aspnet_perf2.ini
   1.0.3705.272  System.Web.dll
				
A következő fájlokat a %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\ mappába másolja a telepítő:
   Verziószám    Fájlnév
   -----------------------
   --            SmartNavIE5.js
   --            SmartNav.js
				

Állapot

A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a Microsoft ASP.NET-keretrendszerben. A hibát először a Microsoft .NET keretrendszer Service Pack 2 (SP2) csomagja javította.

További információ

A biztonsági résről a Microsoft webhelye nyújt további információt:
http://www.microsoft.com/technet/security/bulletin/MS02-026.asp
A biztonsági réshez (MS02-026) kiadott javítás honosított verziói eltérő számot kaptak a Microsoft Tudásbázisban: a megfelelő szám és az ahhoz tartozó nyelv megnevezése az alábbi táblázatban látható.
A táblázat összecsukásaA táblázat kibontása
Tudásbázisbeli számNyelv
322294Francia
322295Olasz
322296Spanyol
322298Japán
322299Egyszerűsített kínai
322300Hagyományos kínai
322301Koreai

Tulajdonságok

Cikk azonosítója: 322289 - Utolsó ellenőrzés: 2014. február 27. - Verziószám: 4.2
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft ASP.NET 1.0
  • Microsoft .NET Framework 1.0
Kulcsszavak: 
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbnetframe100presp2fix kbnetframe100sp2fix kbsecurity kbsecbulletin kbsechack KB322289
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com