MS02-026: บัฟเฟอร์ไม่ได้ตรวจสอบในกระบวนการของผู้ปฏิบัติงาน ASP.NET (ภาษาอังกฤษ)

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 322289 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
บทความนี้ถูกเก็บถาวรแล้วเนื้อหาของบทความจึงถูกนำเสนอ "ตามลักษณะที่เป็น" และจะไม่มีการปรับปรุงข้อมูลอีก
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

อาการ

บัฟเฟอร์ที่ overrun ช่องโหว่ที่มีอยู่ใน Microsoft ASP.NET ผู้โจมตีสามารถทำลายช่องโหว่นี้ได้สำเร็จที่อาจก่อให้เกิดการแอพลิเคชันที่กำลังเรียกใช้บนเว็บเซิร์ฟเวอร์เพื่อเริ่มระบบใหม่ นอกจากนี้ ถึงแม้ว่า Microsoft ไม่ได้สามารถแสดงให้เห็นถึงนั้น ผู้โจมตีสามารถทำลายช่องโหว่นี้ได้หากต้องให้รหัสที่จะเรียกใช้บนเว็บเซิร์ฟเวอร์ รหัสสามารถเรียกใช้ในบริบทการรักษาความปลอดภัยของกระบวนการของผู้ปฏิบัติงาน ASP.NET (Aspnet_wp.exe), ซึ่งใช้แอคเคาท์ unprivileged โดยค่าเริ่มต้นได้

ช่องโหว่นี้มีผลต่อโปรแกรมประยุกต์เฉพาะ ASP.NET ต่าง ๆ ที่ใช้โหมด StateServer เพื่อจัดการข้อมูลสถานะเซสชัน โหมด StateServer ไม่โหมดการเริ่มต้น มีผลสุดท้าย ช่องโหว่นี้กับโปรแกรมเฉพาะประยุกต์เหล่านั้นที่ใช้โหมด StateServer และที่ยังใช้คุกกี้ ช่องโหว่นี้ไม่มีผลกับโปรแกรมประยุกต์ที่ใช้โหมด StateServer โดยไม่มีคุกกี้

สาเหตุ

ช่องโหว่นี้เกิดขึ้นเนื่องจากฟังก์ชันที่ประมวลผลข้อมูลคุกกี้ที่อยู่ในบริการ ASPState ไม่สามารถตรวจสอบความยาวของคุกกี้ที่ผ่านไปอย่างถูกต้อง

การแก้ไข

ข้อกำหนดเบื้องต้น

การปรับปรุงนี้ต้องมี Microsoft .NET Framework Service Pack 1สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการขอรับ service pack ล่าสุดสำหรับ.NET Framework คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
318836วิธีการขอรับ service pack ล่าสุดของ.NET Framework

ข้อมูลการดาวน์โหลด

เพื่อความสะดวกของคุณ ปรับปรุงนี้จะยังพร้อมใช้งานแต่ละรายการ เมื่อต้องการดาวน์โหลดการปรับปรุงสำหรับปัญหานี้แต่ละ แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=633dffd9-c083-4ff5-8d7d-1474cac0239b&DisplayLang=en
วันวางจำหน่าย: เดือน 6 มิถุนายน 2002

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการดาวน์โหลดแฟ้มสนับสนุนของ Microsoft โปรดคลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความใน Microsoft Knowledge Base::
119591วิธีรับแฟ้มการสนับสนุนของไมโครซอฟท์จากบริการออนไลน์
Microsoft สแกนแฟ้มนี้เพื่อหาไวรัส Microsoft ใช้ซอฟต์แวร์ตรวจสอบไวรัสล่าสุด ณ วันที่มีการประกาศแฟ้มนั้นๆ แฟ้มดังกล่าวจะถูกเก็บในเซิร์ฟเวอร์เพิ่มการรักษาความปลอดภัย ซึ่งช่วยป้องกันการเปลี่ยนแปลงแก้ไขแฟ้มโดยไม่ได้รับอนุญาต

ตัวเลือกการติดตั้ง

คำสั่งบรรทัดคำสั่งต่อไปนี้ติดตั้งการปรับปรุง โดยไม่มีการขัดจังหวะโดยผู้ใช้ใด ๆ และไม่บังคับให้คอมพิวเตอร์เริ่มต้นใหม่:
ndp10_qfem_q322289_en.exe /Q
คำเตือนดูปัญหาการติดตั้งด้านล่าง และโปรดสังเกตว่า เครื่องคอมพิวเตอร์ของคุณต่อจนกว่าคุณเริ่มต้นใหม่

ปัญหาการติดตั้ง

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับปัญหาการติดตั้งกับบูเลทีนการรักษาความปลอดภัยนี้ ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
324292ปัญหาการติดตั้งกับ silent ของความปลอดภัยบูเลทีนการ MS02-026 ที่ติดตั้ง

ข้อมูลแฟ้ม

แฟ้มต่อไปนี้จะถูกคัดลอกไปยังโฟลเดอร์ %WINDIR%\Microsoft.NET\Framework\v1.0.3705\:
   Version       File Name
   -------------------------------
   1.0.3705.272  Aspnet_isapi.dll
   1.0.3705.272  Aspnet_wp.exe
   1.0.3705.272  Aspnet_regiis.exe
       --        Aspnet_perf.ini
       --        Aspnet_perf2.ini
   1.0.3705.272  System.Web.dll
				
แฟ้มต่อไปนี้จะถูกคัดลอกไปยังโฟลเดอร์ %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\:
   Version  File Name
   -----------------------
   --       SmartNavIE5.js
   --       SmartNav.js
				

สถานะ

Microsoft ได้ยืนยันว่า ปัญหานี้อาจทำให้ระดับของช่องโหว่การรักษาความปลอดภัยใน ASP.NET ของ Microsoftปัญหานี้ก่อนที่ถูกแก้ไขใน Microsoft .NET Framework Service Pack 2 (SP2)

ข้อมูลเพิ่มเติม

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้ แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-026.mspx
แพทช์การแปลสำหรับช่องโหว่นี้ (MS02 026) มีหมายเลข Microsoft Knowledge Base (KB) ที่แตกต่างกัน หมายเลข KB และภาษาสอดคล้องกันสำหรับแต่ละโปรแกรมปรับปรุงที่แปลปรากฏอยู่ในตารางต่อไปนี้
ยุบตารางนี้ขยายตารางนี้
จำนวนกิโลไบต์ภาษา
322294ฝรั่งเศส
322295อิตาลี
322296สเปน
322299จีนประยุกต์
322300จีน(ดั้งเดิม)
322301ภาษาเกาหลี

คุณสมบัติ

หมายเลขบทความ (Article ID): 322289 - รีวิวครั้งสุดท้าย: 27 กุมภาพันธ์ 2557 - Revision: 3.0
ใช้กับ
  • Microsoft ASP.NET 1.0
  • Microsoft .NET Framework 1.0
Keywords: 
kbnosurvey kbarchive kbbug kbfix kbnetframe100presp2fix kbnetframe100sp2fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbmt KB322289 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:322289

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com