MS02-026: Az ASP.NET munkavégző folyamat nem ellenőrzött puffert tartalmaz (angol nyelvű összetevő)

A cikket archiválták. A továbbiakban a tartalma már nem frissül, csak jelenlegi állapotában lesz elérhető.
A jelenség
A Microsoft ASP.NET szolgáltatás puffertúlcsordulásra visszavezethető biztonsági rést tartalmaz, amelyet kihasználva az esetleges támadó újraindíthatja a webkiszolgálón futó alkalmazást. Habár a Microsoft nem tapasztalta a jelenséget, a támadó arra is képes lehet, hogy kódot futtasson a webkiszolgálón. A kód futtatása az ASP.NET munkavégző folyamatának (Aspnet_wp.exe) biztonsági környezetében lehetséges, mivel az működéséhez alapértelmezés szerint jogosultságok nélküli fiókot használ.

A biztonsági rés csak azon ASP.NET-alkalmazásokat érinti, amelyek a munkamenetek állapotadatainak kezeléséhez a StateServer (egyébként nem alapértelmezett) üzemmódot alkalmazzák. A biztonsági rés csak a StateServer üzemmódot és cookie-kat is használó alkalmazásokra van hatással, a StateServer üzemmódot cookie-k nélkül használókra nincs.
Oka
A biztonsági rés oka az, hogy a cookie-adatokat az ASPState szolgáltatásban feldolgozó egyik függvény nem tudja helyesen ellenőrizni a neki átadott cookie-k hosszát.
A megoldás

Előfeltételek

A frissítés csak a Microsoft .NET-keretrendszer Service Pack 1 szervizcsomagjának megléte esetén telepíthető. A .NET-keretrendszer legújabb szervizcsomagjának beszerzéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
318836 Információ: A .NET-keretrendszer legújabb szervizcsomagjának beszerzése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Letöltési információ

A probléma megoldásához szerezze be a Microsoft .NET-keretrendszer legújabb szervizcsomagját. További információt a Microsoft tudásbázis következő cikkében talál a cikk számára kattintva:
318836 Információ: A .NET-keretrendszer legújabb szervizcsomagjának beszerzése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A hatékonyabb rendszerszervezés érdekében a frissítés önálló frissítésként is letölthető a Microsoft webhelyéről: Kiadás dátuma: 2002. június 6.

A Microsoft terméktámogatási fájljainak letöltéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét: ehhez a kiadás napján rendelkezésre álló legfrissebb vírusvédelmi szoftvert használta. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Telepítési beállítások

A következő parancssori paranccsal felhasználói beavatkozás nélkül telepítheti a frissítést, és a számítógép újraindítására sincs szükség:
ndp10_qfem_q322289_hu.exe /Q
Figyelem! Olvassa el figyelmesen a lenti telepítési tudnivalókat, és ne feledje, hogy az újraindításig számítógépe mindvégig sebezhető marad.

Telepítési tudnivalók

A cikkben ismertetett frissítés telepítésével kapcsolatos további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
324292 Információ: Az MS02-026. számú Security Bulletin cikkben ismertetett frissítés csendes telepítésével kapcsolatos tudnivalók (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Fájlinformáció

A telepítő a következő fájlokat másolja a %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ mappába:
   Verziószám    Fájlnév   -------------------------------   1.0.3705.272  Aspnet_isapi.dll   1.0.3705.272  Aspnet_wp.exe   1.0.3705.272  Aspnet_regiis.exe       --        Aspnet_perf.ini       --        Aspnet_perf2.ini   1.0.3705.272  System.Web.dll				
A következő fájlokat a %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\ mappába másolja a telepítő:
   Verziószám    Fájlnév   -----------------------   --            SmartNavIE5.js   --            SmartNav.js				

Állapot
A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a Microsoft ASP.NET-keretrendszerben. A hibát először a Microsoft .NET keretrendszer Service Pack 2 (SP2) csomagja javította.
További információ
A biztonsági résről a Microsoft webhelye nyújt további információt: A biztonsági réshez (MS02-026) kiadott javítás honosított verziói eltérő számot kaptak a Microsoft Tudásbázisban: a megfelelő szám és az ahhoz tartozó nyelv megnevezése az alábbi táblázatban látható.
Tudásbázisbeli számNyelv
322294Francia
322295Olasz
322296Spanyol
322298Japán
322299Egyszerűsített kínai
322300Hagyományos kínai
322301Koreai
security_patch
Tulajdonságok

Cikkazonosító: 322289 - Utolsó ellenőrzés: 02/27/2014 02:07:32 - Verziószám: 4.2

  • Microsoft ASP.NET 1.0
  • Microsoft .NET Framework 1.0
  • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbnetframe100presp2fix kbnetframe100sp2fix kbsecurity kbsecbulletin kbsechack KB322289
Visszajelzés