Después de aplicar la actualización de seguridad MS10-070 a los servidores que atienden a los sitios web de Microsoft ASP.NET que se implementan en una granja de servidores web, es posible que algunos de los servidores o las aplicaciones de la granja de servidores web experimenten alguno de los siguientes síntomas:
-
Error al descifrar los datos
-
Excepciones en los controladores de WebResource o ScriptResource
-
Errores de autenticación al utilizar la autenticación mediante formularios
-
Excepciones de "Estado de vista no válido"
-
Excepciones de "No se pueden validar datos" al intentar descifrar datos como, por ejemplo, la cookie de autenticación mediante formularios
El error puede manifestarse como una excepción de la aplicación al acceder a la aplicación ASP.NET, y en el registro de la aplicación puede registrarse información similar a la que se muestra a continuación.
Mensaje 1:
System.Web.HttpException : No se pueden validar datos. at System.Web.Configuration.MachineKeySection.EncryptOrDecryptData(Boolean fEncrypt, Byte[] buf, Byte[] modifier, Int32 start, Int32 length, IVType ivType, Boolean useValidationSymAlgo, Boolean signData)
Mensaje 2:
Tipo de evento: advertencia
Origen del evento: ASP.NET 2.0.50727.0
Categoría del evento: evento web
identificador de evento: 1309
Fecha: Fecha
Hora: Hora
Usuario: N/D
Descripción:
Código de evento: 3005
Mensaje de evento: se produjo una excepción no controlada.
Información de excepción:
Tipo de excepción: HttpException
Mensaje de excepción: no se pueden validar datos.
Síntomas
La actualización de seguridad que trata el boletín MS10-070 cambia el comportamiento predeterminado de cifrado en ASP.NET. Con el nuevo comportamiento predeterminado tras la instalación de la actualización de seguridad se realiza una validación además del cifrado, incluso si sólo se solicita cifrado. Este comportamiento predeterminado cambia la carga cifrada en servidores donde se aplica esta actualización. La carga puede incluir las cookies de autenticación mediante formularios y estado de vista. Si una actualización de seguridad se aplica sólo en algunos servidores de una granja de servidores web, se producirán diferencias en los métodos de cifrado y descifrado de la misma carga entre los distintos servidores de la granja de servidores web. Esta diferencia en los comportamientos dará lugar a excepciones. Este comportamiento puede producirse también si se consumen las cookies de la autenticación mediante formularios que se conservan en los sistemas antes de aplicar la actualización de seguridad después de que dicha actualización se haya aplicado.
Asimismo, los métodos de cifrado y descifrado son distintos para cada una de las versiones de service pack de Microsoft .NET Framework 2.0. Por tanto, la presencia de diferentes niveles de service pack para .NET Framework en un entorno de granja de servidores web que tenga instalada una actualización de seguridad dará lugar a diferentes cargas cifradas y a un error similar de descifrado.
Causa
Compruebe que las siguientes condiciones se cumplen en todos los servidores que están atendiendo al contenido ASP.NET:
-
Todos los servidores que atienden a un sitio web ASP.NET en la granja de servidores web tienen que instalar la actualización de seguridad. Si algunos servidores no tienen instalada la actualización de seguridad, deberá aplicarles dicha actualización.
-
Todos los equipos que estén ejecutando alguna versión de .NET Framework 2.0 en la granja de servidores web deben tener el mismo nivel de service pack si se ha aplicado la actualización de seguridad MS10-070 a todos los sistemas. Si hay alguna diferencia en los niveles de service pack de los servidores, deberá actualizar todos los servidores para que tengan el service pack más reciente y volver a aplicar todas las actualizaciones de seguridad. Por tanto, si algunos servidores de la granja de servidores web están ejecutando .NET Framework 2.0 SP1 y otros están ejecutando .NET Framework 2.0 SP2, todos los servidores .NET Framework 2.0 SP1 deben actualizarse a .NET Framework 2.0 SP2 antes de aplicar la actualización de seguridad a todos los servidores de la granja de servidores web.
-
Compruebe que las aplicaciones no están consumiendo datos cifrados, como las cookies de autenticación mediante formularios que se generaron antes de aplicar la actualización. Después de aplicar la actualización de seguridad, se deben actualizar los datos cifrados anteriormente.
Para obtener más información acerca de cómo detectar las versiones de .NET Framework y sobre la instalación de la actualización de seguridad en sus servidores, consulte la sección "Referencias".
Solución
Para obtener más información acerca del estado de la vista de ASP.NET, consulte el siguiente artículo:
Introducción al estado de vista de ASP.NETPara obtener más información acerca de la autenticación mediante formularios de ASP.NET, consulte el siguiente artículo:
Introducción a la autenticación mediante formularios de ASP.NETPara obtener más información acerca de las cookies y los vales de la autenticación mediante formularios, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
910443 Descripción del vale y la cookie de autenticación mediante formularios Para obtener más información acerca del controlador de recurso web de ASP.NET, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
910442 Trabajar con recursos web en ASP.NET 2.0
