Al momento sei offline in attesa che la connessione Internet venga ristabilita

MS02-026: Buffer non controllato nel processo di lavoro ASP.NET (italiano)

Sintomi
In Microsoft ASP.NET esiste una vulnerabilità relativa al sovraccarico del buffer. Un utente non autorizzato che sia riuscito a sfruttare tale vulnerabilità potrebbe causare il riavvio dell’applicazione in esecuzione sul server Web. Inoltre, nonostante Microsoft non abbia potuto dimostrarlo, un utente non autorizzato potrebbe sfruttare questa vulnerabilità per far eseguire codice sul server Web. Il codice potrebbe essere eseguito nel contesto di protezione del processo di lavoro ASP.NET (Aspnet_wp.exe), che per impostazione predefinita utilizza un account senza privilegi.

Questa vulnerabilità riguarda solo le applicazioni ASP.NET che utilizzano la modalità StateServer per gestire le informazioni sullo stato della sessione. StateServer non è la modalità predefinita. Infine, tale vulnerabilità riguarda solo le applicazioni che utilizzano la modalità StateServer e anche i cookie. Le applicazioni che utilizzano la modalità StateServer senza cookie non sono interessate da questa vulnerabilità.
Cause
Questa vulnerabilità si verifica perché una funzione che elabora i dati relativi ai cookie nel servizio ASPState non può verificare correttamente la lunghezza dei cookie passati ad essa.
Risoluzione
È disponibile una correzione supportata da Microsoft, che è tuttavia destinata esclusivamente alla correzione del problema descritto in questo articolo. Applicarla solo ai computer che si ritengono soggetti al rischio di attacchi. Per determinare il livello di rischio cui è soggetto il computer, valutarne attentamente il grado di accessibilità fisica, la connessione di rete e a Internet e altri fattori. Vedere il relativo Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese) per determinare il livello di rischio. È possibile che su questa correzione vengano eseguite ulteriori verifiche. Se il computer è a rischio, si consiglia di applicare la correzione dell'errore immediatamente. In caso contrario si consiglia di attendere la versione successiva del service pack di Microsoft .NET Framework contenente tale correzione.

Per risolvere immediatamente questo problema, scaricare la correzione come indicato in questo articolo oppure contattare il Servizio Supporto Tecnico Clienti Microsoft. Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi dell'assistenza, visitare il sito Web Microsoft all'indirizzo:NOTA: in casi particolari, le spese normalmente addebitate per le chiamate al Servizio Supporto Tecnico Clienti Microsoft potrebbero essere annullate qualora un addetto del Servizio Supporto Tecnico Clienti Microsoft dovesse determinare che uno specifico aggiornamento risolverà il problema. I normali costi del Servizio Supporto Tecnico Clienti verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

Prerequisiti

Questo aggiornamento richiede Microsoft .NET Framework Service Pack 1. Per ulteriori informazioni su come ottenere il service pack più recente per .NET Framework, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
318836 INFO: Download del service pack più recente per .NET Framework

Informazioni sul download

Per scaricare l'aggiornamento per questo problema, visitare il seguente sito Web Microsoft (informazioni in lingua inglese): Data di rilascio: 6 giugno 2002

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file è stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus più recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Opzioni di installazione

Con la seguente riga di comando l'aggiornamento viene installato senza intervento dell'utente e senza richiedere il riavvio del computer:
ndp10_qfem_q322295_it.exe /Q
AVVISO: Leggere la sezione Problemi di installazione di seguito. Si noti che il computer rimane vulnerabile finché non viene riavviato.

Problemi di installazione

Per ulteriori informazioni sui problemi di installazione di questo bollettino sulla sicurezza, fare clic sul numero dell'articolo della Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
324292 INFO: Problemi relativi all'installazione invisibile all'utente del Bollettino sulla sicurezza MS02-026

Informazioni sui file

I seguenti file vengono copiati nella cartella %WINDIR%\Microsoft.NET\Framework\v1.0.3705\:
   Versione      Nome file        -------------------------------   1.0.3705.272  Aspnet_isapi.dll   1.0.3705.272  Aspnet_wp.exe   1.0.3705.272  Aspnet_regiis.exe       --        Aspnet_perf.ini       --        Aspnet_perf2.ini   1.0.3705.272  System.Web.dll
I seguenti file vengono copiati nella cartella %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\:
   Versione      Nome file        ----------------------------   --            SmartNavIE5.js   --            SmartNav.js

Status
Microsoft ha confermato che questo problema potrebbe comportare rischi di protezione in Microsoft ASP.NET.
Informazioni
Per ulteriori informazioni su questa vulnerabilità, vedere il seguente Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese):
security_patch
Proprietà

ID articolo: 322295 - Ultima revisione: 02/20/2004 16:44:10 - Revisione: 3.2

Microsoft ASP.NET 1.0, Microsoft .NET Framework 1.0

  • kbbug kbfix kbnetframe100presp2fix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB322295
Feedback
/html>