MS02-026: ASP.NET Çalışan İşleminde Denetlenmeyen Arabellek (İngilizce)

Makale çevirileri Makale çevirileri
Makale numarası: 322289 - Bu makalenin geçerli olduğu ürünleri görün.
Bu makale arşivlenmiştir. "Olduğu gibi" sunulmaktadır ve bundan sonra güncelleştirilmeyecektir.
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

Microsoft ASP.NET'te bir arabellek taşması güvenlik açığı bulunmaktadır. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, Web sunucusunda çalışan uygulamanın yeniden başlatmasına neden olabilir. Ayrıca, Microsoft nasıl gerçekleştirildiğini belirleyememiş olmasına karşın, saldırgan Web sunucusunda kod çalıştırılmasına olanak sağlayacak şekilde bu güvenlik açığından yararlanabilir. Kod, varsayılan olarak ayrıcalığı olmayan bir hesap kullanan ASP.NET çalışan işleminin (Aspnet_wp.exe) güvenlik kapsamında çalışabilir.

Bu güvenlik açığı, yalnızca oturum durumu bilgilerini yönetmek için StateServer modunu kullanan ASP.NET uygulamalarını etkiler. StateServer modu varsayılan mod değildir. Son olarak, bu güvenlik açığı yalnızca StateServer modunu ve ayrıca tanımlama bilgilerini kullanan uygulamaları etkiler. Bu güvenlik açığı, StateServer modunu tanımlama bilgileri olmadan kullanan uygulamaları etkilemez.

Neden

Güvenlik açığı, ASPState hizmetinde tanımlama bilgisi verilerini işleyen bir işlevin aktarılan tanımlama bilgilerinin uzunluğunu düzgün denetleyememesi nedeniyle oluşur.

Çözüm

Önkoşullar

Bu güncelleştirme, Microsoft .NET Framework Service Pack 1 gerektirir. En son .NET Framework hizmet paketini elde etme hakkında ek bilgi için, Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
318836 BİLGİ: En Son .NET Framework Hizmet Paketi Nasıl Elde Edilir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Karşıdan Yükleme Bilgileri

Bu sorunu gidermek için, Microsoft .NET Framework için en son hizmet paketini edinin. Ek bilgi için, Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
318836 BİLGİ: En Son Office NET Hizmet Paketi Nasıl Elde Edilir (Bu makale, henüz çevrilmemiş İngilizce içeriğe bağlantılar içerebilir)
Kolaylık olması için bu güncelleştirmeyi tek olarak da edinebilirsiniz. Bu soruna yönelik tek başına güncelleştirmeyi karşıdan yüklemek için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://msdn.microsoft.com/netframework/downloads/updates/asphotfix.asp
Yayın Tarihi: 06 Haziran 2002

Microsoft Destek dosyalarını karşıdan yükleme konusunda ek bilgi için, Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
119591 Microsoft Destek Dosyaları Çevrimiçi Hizmetler'den Nasıl Elde Edilir
Microsoft bu dosyada virüs taraması yapmıştır. Microsoft, dosyanın kullanıma sunulduğu tarihteki en güncel virüs tarama yazılımını kullanmıştır. Dosya, dosyada herhangi bir yetkisiz değişiklik yapılmasını engellemeye yardım eden geliştirilmiş güvenliğe sahip sunucularda depolanır.

Yükleme Seçenekleri

Aşağıdaki komut satırı komutu, güncelleştirmeyi kullanıcı araya girmeden yükler ve bilgisayarı yeniden başlamaya zorlamaz:
ndp10_qfem_q322289_en.exe /Q
UYARI: Lütfen aşağıdaki yükleme sorunlarına bakın ve yeniden başlatılana kadar bilgisayarınızın güvenlik açığından etkileneceğini unutmayın.

Yükleme Sorunları

Bu güvenlik bültenindeki yükleme sorunları hakkında ek bilgi için, Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
324292 BİLGİ: Güvenlik Bülteni MS02-026'nın Sessiz Yüklemesinde Sorunlar (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Dosya Bilgileri

Aşağıdaki dosyalar %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ klasörüne kopyalanır:
   Sürüm         Dosya Adı
   -------------------------------
   1.0.3705.272  Aspnet_isapi.dll
   1.0.3705.272  Aspnet_wp.exe
   1.0.3705.272  Aspnet_regiis.exe
       --        Aspnet_perf.ini
       --        Aspnet_perf2.ini
   1.0.3705.272  System.Web.dll
				
Aşağıdaki dosyalar %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\ klasörüne kopyalanır:
   Sürüm    Dosya Adı
   -----------------------
   --       SmartNavIE5.js
   --       SmartNav.js
				

Durum

Microsoft, bu sorunun Microsoft ASP.NET'te bir ölçüde güvenlik açığına neden olabileceğini onaylamıştır. Bu sorun, ilk olarak Microsoft .NET Framework Service Pack 2'de (SP2) giderilmiştir.

Daha fazla bilgi

Bu güvenlik açığı hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/technet/security/bulletin/MS02-026.asp
Bu güvenlik açığının (MS02-026) yerelleştirilmiş düzeltme eklerinin farklı Microsoft Knowledge Base (KB) numaraları vardır. Yerelleştirilmiş düzeltme eklerinin KB numaraları ve karşılık gelen dil sürümleri aşağıdaki tabloda gösterilmektedir.
Bu tabloyu kapaBu tabloyu aç
KB numarasıDil
322294Fransızca
322295İtalyanca
322296İspanyolca
322298Japonca
322299Basitleştirilmiş Çince
322300Geleneksel Çince
322301Kore dili

Özellikler

Makale numarası: 322289 - Last Review: 27 Şubat 2014 Perşembe - Gözden geçirme: 4.2
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft ASP.NET 1.0
  • Microsoft .NET Framework 1.0
Anahtar Kelimeler: 
kbnosurvey kbarchive kbbug kbfix kbnetframe100presp2fix kbnetframe100sp2fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB322289

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com