MS02-026: Niesprawdzany bufor w procesie roboczym ASP.NET (poprawka w wersji anglojęzycznej)

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 322289 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Symptomy

W środowisku Microsoft ASP.NET istnieje luka związana z przepełnieniem buforu. Atakujący, który pomyślnie wykorzystałby tę lukę, mógłby spowodować ponowne uruchomienie aplikacji uruchomionej na serwerze sieci Web. Ponadto, chociaż firma Microsoft nie jest w stanie tego zademonstrować, atakujący mógłby wykorzystać tę lukę do uruchomienia kodu na serwerze sieci Web. Kod mógłby zostać uruchomiony w kontekście zabezpieczeń procesu roboczego ASP.NET (Aspnet_wp.exe), który domyślnie korzysta z nieuprzywilejowanego konta.

Ta luka dotyczy tylko aplikacji ASP.NET, które używają trybu StateServer do zarządzania informacjami o stanie sesji. Tryb StateServer nie jest trybem domyślnym. Ponadto ta luka dotyczy tylko tych aplikacji, które używają trybu StateServer, a także plików cookie. Ta luka nie dotyczy aplikacji, które używają trybu StateServer bez plików cookie.

Przyczyna

Ta luka występuje, ponieważ funkcja, która przetwarza dane plików cookie w usłudze ASPState, nie sprawdza poprawnie długości przekazywanych do niej plików cookie.

Rozwiązanie

Wymagania wstępne

Ta aktualizacja wymaga architektury Microsoft .NET Framework z dodatkiem Service Pack 1. Aby uzyskać dodatkowe informacje dotyczące możliwości uzyskania najnowszego dodatku Service Pack dla architektury .NET Framework, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
318836 INFO: Jak uzyskać najnowszy dodatek Service Pack dla programu .NET Framework

Informacje dotyczące pobierania

Aby rozwiązać ten problem, należy zaopatrzyć się w najnowszy dodatek Service Pack dla architektury Microsoft .NET Framework. Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
318836 INFO: Jak uzyskać najnowszy dodatek Service Pack dla programu .NET Framework
Jako udogodnienie dostępna jest również osobna aktualizacja. Aby pobrać osobną aktualizację dotyczącą tego problemu, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://msdn.microsoft.com/netframework/downloads/updates/asphotfix.asp
Data wydania: 6 czerwca 2002

Aby uzyskać dodatkowe informacje dotyczące sposobu pobierania plików Pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 Jak uzyskać pliki Pomocy technicznej Microsoft w usługach online
Firma Microsoft przeskanowała ten plik w poszukiwaniu wirusów. Firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów dostępnego w chwili opublikowania pliku. Plik jest przechowywany na serwerach o podwyższonych zabezpieczeniach, które utrudniają nieautoryzowane zmiany w pliku.

Opcje instalacji

Po wpisaniu następującego tekstu w wierszu polecenia instalacja aktualizacji jest przeprowadzana bez jakiejkolwiek interwencji użytkownika, a po jej zakończeniu komputer nie jest ponownie uruchamiany:
ndp10_qfem_q322289_en.exe /Q
Ostrzeżenie: Zobacz problemy z instalacją poniżej i zwróć uwagę, że ryzyko związane z opisywanym zagrożeniem zostanie wyeliminowane dopiero po ponownym uruchomieniu komputera.

Problemy z instalacją

Aby uzyskać dodatkowe informacje dotyczące problemów z instalacją tej poprawki, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
324292 INFO: Installation Issues with Silent Install of Security Bulletin MS02-026

Informacje o plikach

Następujące pliki są kopiowane do folderu %WINDIR%\Microsoft.NET\Framework\v1.0.3705\:
   Wersja        Nazwa pliku
   -------------------------------
   1.0.3705.272  Aspnet_isapi.dll
   1.0.3705.272  Aspnet_wp.exe
   1.0.3705.272  Aspnet_regiis.exe
       --        Aspnet_perf.ini
       --        Aspnet_perf2.ini
   1.0.3705.272  System.Web.dll
				
Następujące pliki są kopiowane do folderu %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\:
   Wersja   Nazwa pliku
   -----------------------
   --       SmartNavIE5.js
   --       SmartNav.js
				

Stan

Firma Microsoft potwierdziła, że ten problem może stanowić pewną lukę w zabezpieczeniach środowiska Microsoft ASP.NET. Ten problem został po raz pierwszy rozwiązany w dodatku Service Pack 2 dla architektury Microsoft .NET Framework.

Więcej informacji

Aby uzyskać więcej informacji na temat tej luki, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/security/bulletin/MS02-026.mspx
Zlokalizowane poprawki dotyczące tej luki (MS02-026) mają inne numery artykułów z bazy wiedzy Microsoft Knowledge Base (KB). W następującej tabeli pokazano numery artykułów KB i odpowiadające im języki.
Zwiń tę tabelęRozwiń tę tabelę
Numer artykułu KBJęzyk
322294francuski
322295włoski
322296hiszpański
322298japoński
322299chiński uproszczony
322300chiński tradycyjny
322301koreański

Właściwości

Numer ID artykułu: 322289 - Ostatnia weryfikacja: 27 lutego 2014 - Weryfikacja: 4.2
Informacje zawarte w tym artykule dotyczą:
  • Microsoft .NET Framework 1.0
  • Microsoft ASP.NET 1.0
Słowa kluczowe: 
kbnosurvey kbarchive kbbug kbfix kbnetframe100presp2fix kbnetframe100sp2fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB322289

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com