Résumé
La mise à jour de sécurité MS11-100 de Microsoft limite le nombre maximal de clés de formulaire, de fichiers et de membres JSON à 1 000 dans une requête HTTP. En raison de cette modification, les applications ASP.NET rejettent les requêtes comportant plus de 1 000 de ces éléments. Les clients HTTP qui envoient de type de requête sont refusés et un message d'erreur s'affiche dans le navigateur Web. Le message d'erreur présente généralement un code d'état HTTP 500. Cette nouvelle limite peut être configurée sur chaque application. Reportez-vous à la section « Résolution » pour obtenir les instructions de configuration.
Symptômes
Les requêtes ASP.NET qui comporte nombre de clés de formulaire, de fichiers ou une charge utile JSON obtiennent une erreur en guise de réponse du serveur. Le journal des applications sur le serveur comporte une entrée Avertissement dont la Source est une version spécifique d'ASP.NET, ainsi que l'ID d'événement 1309. Le journal des événements contient l'un des messages suivants :
Message 1 :
Informations sur l'application : Domaine d'application : /LM/W3SVC/1/ROOT/<domaine_application>Niveau de confiance : Moyen Chemin d'accès virtuel de l'application : <chemin_accès_répertoire_virtuel>Chemin d'accès de l'application : <chemin_accès_application>Nom de l'ordinateur : <nom_ordinateur>Informations sur les processus : ID processus : 0001 Nom du processus : w3wp.exe Nom du compte : IIS APPPOOL\DefaultAppPool Informations sur l'exception : Type d'exception : HttpException Message d'exception : Les données de formulaire codées URL ne sont pas valides. System.Web.HttpRequest.FillInFormCollection()System.Web.HttpRequest.get_Form()System.Web.HttpRequest.get_HasForm()System.Web.UI.Page.GetCollectionBasedOnMethod(Boolean dontReturnNull)System.Web.UI.Page.DeterminePostBackMode()System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)
Message 2 :
Informations sur l'application : Domaine d'application : /LM/W3SVC/1/ROOT/<domaine_application> Niveau de confiance : Moyen Chemin d'accès virtuel de l'application : <chemin_accès_répertoire_virtuel> Chemin d'accès de l'application : <chemin_accès_application> Nom de l'ordinateur : <nom_ordinateur>Informations sur les processus : ID processus : 0001Nom du processus : w3wp.exe Nom du compte : IIS APPPOOL\DefaultAppPool Informations sur l'exception : Type d'exception : InvalidOperationException Message d'exception : L'opération n'est pas valide en raison de l'état actuel de l'objet. System.Web.HttpRequest.FillInFilesCollection()System.Web.HttpRequest.get_Files()FileUpload.Page_Load(Object sender, EventArgs e) System.Web.Util.CalliHelper.EventArgFunctionCaller(IntPtr fp, Object o, Object t, EventArgs e)System.Web.Util.CalliEventHandlerDelegateProxy.Callback(Object sender, EventArgs e)System.Web.UI.Control.OnLoad(EventArgs e)System.Web.UI.Control.LoadRecursive()System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint
Message 3 :
Informations sur l'application :Domaine d'application : /LM/W3SVC/1/ROOT/<domaine_application> Niveau de confiance : Moyen Chemin d'accès virtuel de l'application : <chemin_accès_répertoire_virtuel> Chemin d'accès de l'application : <chemin_accès_application>Nom de l'ordinateur : <nom_ordinateur>Informations sur les processus : ID processus : 0001Nom du processus : w3wp.exe Nom du compte : IIS APPPOOL\DefaultAppPool Informations sur l'exception : Type d'exception : InvalidOperationException Message d'exception : L'opération n'est pas valide en raison de l'état actuel de l'objet. System.Web.Script.Serialization.JavaScriptObjectDeserializer.DeserializeDictionary(Int32 depth)System.Web.Script.Serialization.JavaScriptObjectDeserializer.DeserializeInternal(Int32 depth)System.Web.Script.Serialization.JavaScriptObjectDeserializer.BasicDeserialize(String input, Int32 depthLimit, JavaScriptSerializer serializer)System.Web.Script.Serialization.JavaScriptSerializer.Deserialize(JavaScriptSerializer serializer, String input, Type type, Int32 depthLimit)System.Web.Script.Serialization.JavaScriptSerializer.DeserializeObject(String input)Failing.Page_Load(Object sender, EventArgs e) System.Web.Util.CalliHelper.EventArgFunctionCaller(IntPtr fp, Object o, Object t, EventArgs e)System.Web.Util.CalliEventHandlerDelegateProxy.Callback(Object sender, EventArgs e)System.Web.UI.Control.OnLoad(EventArgs e)System.Web.UI.Control.LoadRecursive()System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)
Le fichier journal d'IIS affiche une entrée similaire à la suivante :
2011-01-01 00:00:00 ::1 POST /machine/default.aspx - 80 - ::1 - 500 0 0 187
Cause
La mise à jour de sécurité de Microsoft mentionnée par le bulletin de sécurité MS11-100 remplace par 1 000 le nombre maximal par défaut de clés de formulaire, de fichiers et de membres JSON acceptés par ASP.NET dans une requête. Cette modification a été mise en œuvre pour remédier à la vulnérabilité de type « refus de service » documentée par le bulletin de sécurité Microsoft MS11-100.
Résolution
Les applications qui atteignent cette limite pour les clés de formulaire ou les fichiers peuvent modifier le paramètre appSetting d'ASP.NET aspnet:MaxHttpCollectionKeys, comme illustré ci-dessous dans un fichier de configuration de l'application ASP.NET. Ce paramètre concerne les messages d'erreur 1 et 2 de la section « Symptômes ».
<configuration><appSettings><add key="aspnet:MaxHttpCollectionKeys" value="1000" /></appSettings></configuration>
Remarque Si vous utilisez ASP.NET 1.1 sur un système x86, le paramètre se définit par l'ajout d'une valeur DWORD à la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ASP.NET\1.1.4322.0\MaxHttpCollectionKeys
Si vous utilisez ASP.NET 1.1 sur un système x64, le paramètre se définit par l'ajout d'une valeur DWORD à la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ASP.NET\1.1.4322.0\MaxHttpCollectionKeys
Les applications qui atteignent cette limite pour les charges utiles JSON peuvent modifier le paramètre appSetting d'ASP.NET aspnet:MaxJsonDeserializerMembers, comme illustré ci-dessous dans un fichier de configuration de l'application ASP.NET. Ce paramètre concerne le message d'erreur 3 mentionné dans la section « Symptômes ».
<configuration><appSettings><add key="aspnet:MaxJsonDeserializerMembers" value="1000" /></appSettings></configuration>
Remarque Affecter à ce paramètre une valeur supérieure à celle du paramètre par défaut augmente les chances que votre serveur fasse l'objet d'une vulnérabilité de type « refus de service » mentionnée dans le bulletin de sécurité MS11-100.
Références
Pour plus d'informations sur le bulletin de sécurité MS11-100, reportez-vous à l'article TechNet suivant :
Bulletin de sécurité Microsoft MS11-100 - Critique Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
2638420 MS11-100 : Une vulnérabilité dans .NET Framework pourrait permettre l'élévation de privilèges : 29 décembre 2011
