Guía de implementación para la actualización de seguridad 2638420, según se describe en MS11-100

Resumen

La actualización de seguridad 2638420 (que se describen en el boletín de seguridad MS11-100) cambia la manera en que ASP.NET crea vales de autenticación de formularios. El nuevo comportamiento no es compatible con el comportamiento anterior. Los servidores que usan el comportamiento anterior no pueden leer los vales que se generan mediante el comportamiento nuevo y viceversa. Por lo tanto, si se emplean aplicaciones que usan la autenticación de formularios, se deben tomar medidas específicas al implementar la actualización de seguridad 2638420 para asegurarse de que todos los servidores cambien al comportamiento nuevo de manera simultánea.

Guía de implementación

Debido al cambio en el comportamiento, los administradores cuyas aplicaciones usan la autenticación de formularios deben tomar medidas específicas al implementar la actualización de seguridad 2638420 para asegurarse de que todos los servidores cambien al comportamiento nuevo de manera simultánea.

Para determinar si la aplicación usa la autenticación de formularios, consulte el archivo System.web. Las aplicaciones que emplean la autenticación de formularios usan la siguiente entrada en el archivo System.web:
<authentication mode="Forms">
Notas
  • El modo de autenticación predeterminado es "Windows".
  • ASP.NET solo usa la autenticación de formularios si se configura explícitamente para ello.
Si emplea aplicaciones que usan la autenticación de formularios, deberá implementar la actualización de seguridad 2638420 mediante uno de los métodos siguientes para asegurarse de que los sitios web sigan funcionando correctamente.

Método 1
Implementar la actualización de seguridad 2638420 en todos los servidores activos de la granja de servidores web ASP .NET al mismo tiempo. Para ello, siga estos pasos: 
  1. Quite la mitad de los servidores de la granja de servidores web de los turnos del equilibrador de carga.
  2. Instale la actualización en dichos servidores.
  3. Vuelva a agregar los servidores al turno y, al mismo tiempo, ponga los servidores restantes fuera de servicio para realizar la actualización.
Método 2
Si no puede implementar la actualización de seguridad 2638420 a todos los servidores de la granja de servidores, use este método.

Nota Este método no es recomendado. Cuando establezca este modificador, puede instalar la actualización de seguridad en algunos servidores de la granja de servidores y seguir trabajando con el comportamiento anterior. No obstante, los servidores que usen este modificador de configuración estarán en un estado no seguro y no sacarán partido de las ventajas que ofrece la actualización de seguridad. Por tanto, el modificador de configuración debería quitarse para habilitar el nuevo comportamiento seguro inmediatamente después de la implementación de la actualización de seguridad 2638420 en todos los servidores de la granja de servidores.

Establezca un modificador de compatibilidad en el archivo Web.config o Machine.config antes de instalar la actualización de seguridad 2638420 para forzar el comportamiento anterior después de la instalación de la actualización. Para ello, siga estos pasos: 
  1. Abra el archivo Web.config o Machine.config mediante un editor de texto, tal como Bloc de notas.
  2. Agregue el texto siguiente y guarde el archivo:
    <appSettings>
    <add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
    </appSettings>
    No es necesario reiniciar el equipo o los servicios después de realizar la actualización y guardar el archivo Web.config o Machine.config files. La notificación de cambios en la configuración aplicará automáticamente el grupo de aplicaciones.
Los archivos Web.config se encuentran en las ubicaciones siguientes:

.NET Framework versiones 4.0 a 4.5
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Web.config
.NET Framework versiones 2.0 a 3.5 SP1
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\Web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\Web.config
En un equipo de 32 bits, solo existirá la carpeta Framework. En un equipo de 64 bits, existirá, las carpetas Framework y Framework64. Por tanto, si cuenta con grupos de aplicaciones de 32 bits y 64 bits que ejecutan una combinación de CLR 2 + CLR 4, deberá agregar la entrada a los cuatro archivos.

Si también agrega la entrada <appSettings> a estos archivos de configuración, el cambio se aplicará en todo el sistema.

Problemas conocidos

  • Error de descifrado del vale después de la instalación de la actualización de seguridad 2638420

    Tras la habilitación del nuevo comportamiento de vales, se invalidarán todos los vales de autenticación de formularios que se generan mediante el comportamiento anterior. Cuando se produce este problema, se cierra la sesión de los usuarios finales y es posible que los administradores del servidor experimenten errores de descifrado del vale.

    Asimismo, se registra el siguiente mensaje de error en el registro de eventos:

    Nombre de registro: Aplicación
    Id. de evento: 1315
    Código de evento: 4005
    Mensaje de evento: error de autenticación de formularios para la solicitud. Razón: el vale suministrado no es válido.

    Estos errores pueden provocar un comportamiento inesperado. Por ejemplo, pueden producirse errores "HTTP 401" o "HTTP 302" si las páginas web se protegen mediante un elemento <authorization>.

    Tras instalar la actualización de seguridad 2638420, se espera que los administradores experimenten varias incidencias de estos errores de descifrado de vales debido a que los vales generados anteriormente habrán expirado. El número y la frecuencia de errores debería disminuir con el tiempo a medida que se generen nuevos vales. Si los errores de descifrado continúan durante un periodo prolongado después de instalarse la actualización de seguridad, es posible que algunos de los servidores de la granja de servidores estén usando el comportamiento de vales anterior. Por ejemplo, este problema puede producirse si se cumple alguna de las condiciones siguientes:
    • Uno o más servidores no se actualizaron con la actualización de seguridad 2638420.
    • Uno o más servidores tienen establecido el modificador de compatibilidad mencionado anteriormente. El modificador de compatibilidad se describe anteriormente en este artículo.

Más información

Ya no se admite el modificador de configuración TicketCompatibilityMode

Dado que la actualización de seguridad 2638420 cambia el formato de los vales de autenticación, si se instala y habilita esta el modificador de configuración <forms/ticketCompatibilityMode> dejará de ser compatible.

Para obtener más información acerca del modificador de seguridad <forms/ticketCompatibilityMode>, visite el siguiente sitio web de MSDN:
Propiedades

Id. de artículo: 2659968 - Última revisión: 6 ene. 2012 - Revisión: 1

Comentarios