MS02-023: Μη ελεγμένο buffer στη διαδικασία εργασίας ASP.NET (Αγγλικά)

Αυτό το αρχείο έχει αρχειοθετηθεί. Προσφέρεται “ως έχει” και δεν θα ενημερώνεται πια.
Συμπτώματα
Υπάρχει ένα ζήτημα ευπάθειας υπέρβασης buffer στο Microsoft ASP.NET. Ένας εισβολέας που θα εκμεταλλευόταν με επιτυχία αυτή την ευπάθεια ίσως να μπορούσε να προκαλέσει την επανεκκίνηση της εφαρμογής που εκτελείται στο διακομιστή Web. Επιπλέον, παρόλο που η Microsoft δεν έχει καταφέρει να το αποδείξει, κάποιος εισβολέας θα μπορούσε να εκμεταλλευτεί αυτή την ευπάθεια προκαλώντας την εκτέλεση κώδικα στο διακομιστή Web. Ο κώδικας θα μπορούσε να εκτελεστεί στο περιβάλλον εργασίας της διαδικασίας εργασίας ASP.NET (Aspnet_wp.exe) το οποίο, από προεπιλογή, χρησιμοποιεί λογαριασμό χωρίς δικαιώματα.

Αυτή η ευπάθεια επηρεάζει μόνο τις εφαρμογές ASP.NET που χρησιμοποιούν τη λειτουργία StateServer για τη διαχείριση πληροφοριών που αφορούν την κατάσταση της περιόδου λειτουργίας. Η λειτουργία StateServer δεν είναι η προεπιλεγμένη λειτουργία. Τέλος, αυτή η ευπάθεια επηρεάζει μόνο εκείνες τις εφαρμογές που χρησιμοποιούν τη λειτουργία StateServer και χρησιμοποιούν επίσης cookies. Αυτή η ευπάθεια δεν επηρεάζει τις εφαρμογές που χρησιμοποιούν τη λειτουργία StateServer χωρίς cookies.
Αιτία
Αυτή η ευπάθεια προκύπτει επειδή μια λειτουργία που επεξεργάζεται δεδομένα cookie στην υπηρεσία ASPState δεν είναι σε θέση να ελέγξει σωστά το μήκος των cookies που καταλήγουν σε αυτή.
Προτεινόμενη αντιμετώπιση

Προϋποθέσεις

Αυτή η ενημερωμένη έκδοση απαιτεί το Microsoft .NET Framework Service Pack 1. Για πρόσθετες πληροφορίες σχετικά με τον τρόπο λήψης του τελευταίου Service Pack του .NET Framework, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
318836 ΠΛΗΡΟΦΟΡΙΕΣ: Τρόπος απόκτησης του τελευταίου Service Pack του .NET Framework

Πληροφορίες λήψης

Για να επιλύσετε αυτό το ζήτημα, αποκτήστε το τελευταίο Service Pack για το Microsoft .NET Framework. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
318836 ΠΛΗΡΟΦΟΡΙΕΣ: Τρόπος απόκτησης του τελευταίου Service Pack του .NET Framework
Για δική σας διευκόλυνση, αυτή η ενημερωμένη έκδοση διατίθεται ξεχωριστά. Για τη λήψη της ενημερωμένης έκδοσης σχετικά με το ζήτημα αυτό, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web: Ημερομηνία κυκλοφορίας: 6 Ιουνίου 2002

Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης αρχείων υποστήριξης της Microsoft, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
119591 Τρόπος απόκτησης αρχείων υποστήριξης της Microsoft από ηλεκτρονικές υπηρεσίες
Η Microsoft εξέτασε αυτό το αρχείο για ιούς. Η Microsoft χρησιμοποίησε το πιο πρόσφατο λογισμικό εντοπισμού ιών που ήταν διαθέσιμο κατά την ημερομηνία δημοσίευσης του αρχείου. Το αρχείο είναι αποθηκευμένο σε διακομιστές με ενισχυμένη ασφάλεια, οι οποίοι βοηθούν στην αποτροπή μη εξουσιοδοτημένων αλλαγών στο αρχείο.

Επιλογές εγκατάστασης

Η ακόλουθη εντολή γραμμής εντολών εγκαθιστά την ενημερωμένη έκδοση χωρίς αλληλεπίδραση του χρήστη και χωρίς αναγκαστική επανεκκίνηση του υπολογιστή:
ndp10_qfem_q322289_en.exe /Q
ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Ανατρέξτε στα ακόλουθα ζητήματα εγκατάστασης και σημειώστε ότι ο υπολογιστής σας είναι ευάλωτος μέχρι να επανεκκινηθεί.

Ζητήματα εγκατάστασης

Για πρόσθετες πληροφορίες σχετικά με τα ζητήματα εγκατάστασης αυτού του ενημερωτικού δελτίου ασφαλείας, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
324292 ΠΛΗΡΟΦΟΡΙΕΣ: Ζητήματα εγκατάστασης σχετικά με την εγκατάσταση χωρίς την παρέμβαση του χρήστη του ενημερωτικού δελτίου ασφαλείας MS02-026

Πληροφορίες αρχείου

Τα ακόλουθα αρχεία αντιγράφονται στο φάκελο %WINDIR%\Microsoft.NET\Framework\v1.0.3705\:
   Έκδοση        Όνομα αρχείου   -------------------------------   1.0.3705.272  Aspnet_isapi.dll   1.0.3705.272  Aspnet_wp.exe   1.0.3705.272  Aspnet_regiis.exe       --        Aspnet_perf.ini       --        Aspnet_perf2.ini   1.0.3705.272  System.Web.dll				
Τα ακόλουθα αρχεία αντιγράφονται στο φάκελο %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\:
   Έκδοση        Όνομα αρχείου   ------------------------------   --            SmartNavIE5.js   --            SmartNav.js				

Κατάσταση
Η Microsoft έχει επιβεβαιώσει ότι αυτό το ζήτημα μπορεί να προκαλέσει κάποιο βαθμό ευπάθειας ασφαλείας στο Microsoft ASP.NET. Το ζήτημα αυτό διορθώθηκε για πρώτη φορά στο Service Pack 2 (SP2) του Microsoft .NET Framework.
Περισσότερες πληροφορίες
Για περισσότερες πληροφορίες σχετικά με αυτό το θέμα ευπάθειας, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web: Οι μεταφρασμένες ενημερωμένες εκδόσεις κώδικα για αυτή την ευπάθεια (MS02-026) έχουν διαφορετικούς αριθμούς στη Γνωσιακή Βάση της Microsoft (Knowledge Base). Ο αριθμός της Γνωσιακής Βάσης (KB) και η αντίστοιχη γλώσσα για κάθε μεταφρασμένη ενημερωμένη έκδοση κώδικα εμφανίζονται στον ακόλουθο πίνακα.
Αριθμός Γνωσιακής Βάσης (KB)Γλώσσα
322294Γαλλικά
322295Ιταλικά
322296Ισπανικά
322298Ιαπωνικά
322299Απλοποιημένα κινέζικα
322300Παραδοσιακά κινέζικα
322301Κορεατικά
ενημερωμένη_έκδοση_κώδικα_ασφαλείας
Ιδιότητες

Αναγνωριστικό άρθρου: 322289 - Τελευταία αναθεώρηση: 02/27/2014 02:07:32 - Αναθεώρηση: 4.2

  • Microsoft ASP.NET 1.0
  • Microsoft .NET Framework 1.0
  • kbnosurvey kbarchive kbbug kbfix kbnetframe100presp2fix kbnetframe100sp2fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB322289
Σχόλια