MS02-026: Ukontrollert buffer i ASP.NET-arbeidsprosessen (engelsk)

Denne artikkelen er arkivert. Den tilbys "som den er" og vil ikke bli oppdatert.
Symptom
Det finnes et sikkerhetsproblem for bufferoverløp i Microsoft ASP.NET. En angriper som lykkes i å utnytte dette sikkerhetsproblemet, kan få programmet som kjøres på webserveren, til å starte på nytt. I tillegg kan en angriper potensielt utnytte dette sikkerhetsproblemet til å kjøre kode på webserveren, men Microsoft har ikke vært i stand til påvise dette. Koden kan kjøres i sikkerhetskonteksten for ASP.NET-arbeidsprosessen (Aspnet_wp.exe). Denne bruker som standard en konto uten pålogging.

Dette sikkerhetsproblemet påvirker bare ASP.NET-programmer som bruker modusen StateServer til å håndtere informasjon om øktstatus. Modusen StateServer er ikke standardmodus. Dette sikkerhetsproblemet påvirker bare de programmene som bruker modusen StateServer og som også bruker informasjonskapsler. Dette sikkerhetsproblemet påvirker ikke programmer som bruker modusen StateServer uten informasjonskapsler.
Årsak
Dette sikkerhetsproblemet skyldes at en funksjon som behandler data fra informasjonskapsler i tjenesten ASPState, ikke kan kontrollere lengden av informasjonskapslene den motter, riktig.
Løsning

Forutsetninger

Denne oppdateringen krever Microsoft .NET Framework Service Pack 1. Hvis du vil ha mer informasjon om hvordan du får tak i den nyeste oppdateringspakken for .NET Framework, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base:
318836 INFO: Slik får du tilgang til siste versjon av oppdateringspakken for .NET Framework
(Artikkelen kan være på engelsk.)

Nedlastingsinformasjon

Bruk den siste oppdateringspakken for Microsoft .NET Framework for å løse dette problemet. Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
318836 INFO: Slik får du tilgang til siste versjon av oppdateringspakken for .NET Framework
(Artikkelen kan være på engelsk.) Denne oppdateringen er også tilgjengelig som en enkeltstående oppdatering. Hvis du vil laste ned den enkeltstående oppdateringen for dette problemet, går du til følgende webområde for Microsoft: Utgivelsesdato: 6. juni 2002

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
119591 Slik laster du ned Microsoft-støttefiler fra elektroniske tjenester
Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet som forhindrer at uvedkommende gjør endringer i filen.

Installasjonsalternativer

Følgende kommandolinje installerer oppdateringen uten noen brukermedvirkning, og den tvinger ikke datamaskinen til å starte på nytt:
ndp10_qfem_q322289_en.exe /Q
Advarsel!  Vær oppmerksom på installasjonsproblemene som er omtalt nedenfor, og at datamaskinen er sårbar til du starter den på nytt.

Installasjonsproblemer

Hvis du vil ha mer informasjon om installasjonsproblemer med denne sikkerhetsbulletinen, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base:
324292 INFO: Installasjonsproblemer med stille installasjon av sikkerhetsbulletin MS02-026

Filinformasjon

Følgende filer kopieres til mappen %WINDIR%\Microsoft.NET\Framework\v1.0.3705\:
   Versjon       Filnavn   -------------------------------   1.0.3705.272  Aspnet_isapi.dll   1.0.3705.272  Aspnet_wp.exe   1.0.3705.272  Aspnet_regiis.exe       --        Aspnet_perf.ini       --        Aspnet_perf2.ini   1.0.3705.272  System.Web.dll				
Følgende filer kopieres til mappen %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\:
   Versjon       Filnavn   -----------------------   --       SmartNavIE5.js   --       SmartNav.js				

Status
Microsoft har bekreftet at dette problemet kan forårsake et visst sikkerhetsproblem i Microsoft ASP.NET. Denne feilen ble først rettet opp i Microsoft .NET Framework Service Pack 2 (SP2).
Mer informasjon
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, går du til følgende Microsoft-webområde: De lokaliserte oppdateringene for dette sikkerhetsproblemet (MS02-026) har ulike artikkelnumre i Microsoft Knowledge Base. Tabellen nedenfor viser artikkelnumrene og tilhørende språk for hver av de lokaliserte oppdateringene.
ArtikkelnummerSpråk
322294Fransk
322295Italiensk
322296Spansk
322298Japansk
322299Kinesisk (forenklet)
322300Kinesisk (tradisjonell)
322301Koreansk
sikkerhetsoppdatering
Egenskaper

Artikkel-ID: 322289 – Forrige gjennomgang: 02/27/2014 05:21:59 – Revisjon: 4.2

Microsoft ASP.NET 1.0, Microsoft .NET Framework 1.0

  • kbnosurvey kbarchive kbbug kbfix kbnetframe100presp2fix kbnetframe100sp2fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB322289
Tilbakemelding
ERROR: at System.Diagnostics.Process.Kill() at Microsoft.Support.SEOInfrastructureService.PhantomJS.PhantomJSRunner.WaitForExit(Process process, Int32 waitTime, StringBuilder dataBuilder, Boolean isTotalProcessTimeout)