MS02-026: Неограниченный буфер в рабочем процессе ASP.NET (английская версия)

Переводы статьи Переводы статьи
Код статьи: 322289 - Vizualiza?i produsele pentru care se aplic? acest articol.
Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
Развернуть все | Свернуть все

В этой статье

Проблема

В Microsoft ASP.NET существует уязвимость, связанная с переполнением буфера. Воспользовавшись ею, злоумышленник может вызвать перезагрузку приложения, которое выполняется на веб-сервере, а также запустить на веб-сервере необходимый ему программный код (корпорации Майкрософт не удалось проверить последнее утверждение). Программный код выполняется в контексте безопасности рабочего процесса ASP.NET (Aspnet_wp.exe), который по умолчанию использует непривилегированную учетную запись.

Воздействию уязвимости подвержены только приложения ASP.NET, управляющие данными о состоянии сеанса в режиме StateServer (этот режим не применяется по умолчанию). Кроме того, чтобы злоумышленник смог провести атаку с помощью данной уязвимости, помимо режима StateServer, такие приложения должны использовать файлы «сookie».

Причина

Функция, которая обрабатывает файлы «сookie» в службе ASPState, неправильно проверяет длину переданных ей файлов.

Решение

Необходимые условия

Для установки обновления необходимо наличие Microsoft .NET Framework с пакетом обновления 1 (SP1). Дополнительные сведения о получении последней версии пакета обновления для .NET Framework см. в следующей статье базы знаний Майкрософт:
318836 INFO: Как получить последний пакет обновления для .NET Framework

Сведения о загрузке

Чтобы решить эту проблему, получите последний пакет обновления для Microsoft .NET Framework. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
318836 INFO: Как получить последний пакет обновления для .NET Framework
Кроме того, обновление для устранения этой проблемы можно установить отдельно. Чтобы загрузить обновление, обратитесь на веб-узел корпорации Майкрософт по следующему адресу:
http://msdn.microsoft.com/netframework/downloads/updates/asphotfix.asp
Дата выпуска: 6 июня 2002 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки корпорации Майкрософт см. в следующей статье базы знаний Майкрософт:
119591 Как загрузить файлы поддержки Майкрософт из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.

Сведения об установке

Для установки обновления без вмешательства пользователя и перезагрузки компьютера служит следующая команда:
ndp10_qfem_q322289_en.exe /Q
Внимание! См. раздел «Проблемы при установке». Пока не выполнена перезагрузка, компьютер остается уязвимым.

Проблемы при установке

Дополнительные сведения, которые возникают при установке этого обновления, см. в следующей статье базы знаний Майкрософт:
324292 INFO: Проблемы с установкой обновления MS02-026 в скрытом режиме

Сведения о файлах

Следующие файлы устанавливаются в папку %WINDIR%\Microsoft.NET\Framework\v1.0.3705\.
   Версия        Имя файла
   ------------------------------- 
   1.0.3705.272  Aspnet_isapi.dll 
   1.0.3705.272  Aspnet_wp.exe 
   1.0.3705.272  Aspnet_regiis.exe 
       --        Aspnet_perf.ini 
       --        Aspnet_perf2.ini 
   1.0.3705.272  System.Web.dll
Следующие файлы устанавливаются в папку %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\.
   Версия     Имя файла 
   ----------------------- 
     --       SmartNavIE5.js 
     --       SmartNav.js

Статус

Корпорация Майкрософт подтверждает, что эта проблема может послужить причиной повышения уязвимости системы безопасности Microsoft ASP.NET. Первое исправление проблемы появилось в пакете обновления 2 (SP2) для Microsoft .NET Framework.

Дополнительная информация

Для получения дополнительной информации о данной уязвимости обратитесь на веб-узел корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/technet/security/bulletin/MS02-026.asp
Ниже перечислены статьи базы знаний Майкрософт, в которых рассмотрены локализованные версии обновления для устранения данной проблемы.
Свернуть эту таблицуРазвернуть эту таблицу
Номер статьиЯзык
322294Французский
322295Итальянский
322296Испанский
322298Японский
322299Китайский (упрощенное письмо)
322300Китайский (традиционное письмо)
322301Корейский

Свойства

Код статьи: 322289 - Последний отзыв: 21 февраля 2014 г. - Revision: 4.2
Информация в данной статье относится к следующим продуктам.
  • Microsoft ASP.NET 1.0
  • Microsoft .NET Framework 1.0
Ключевые слова: 
kbnosurvey kbarchive kbbug kbfix kbnetframe100presp2fix kbnetframe100sp2fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB322289

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com