Microsoft julkaissut ASP.NET-haavoittuvuutta koskevan tietoturvatiedotteen
Microsoft on eilen 28.9.2010 n. Klo 20.00 julkaissut normaalin kuukausittaisen julkaisuaikataulun ulkopuolella yhden (1) uuden tietoturvatiedotteen MS10-070, josta kooste alla. Tietoturvatiedote koskee n. pari viikkoa sitten julkisuuteen tullutta .NET Frameworkin ASP.NET-ohjelmointirajapinnassa olevaa haavoittuvuutta, josta Microsoft on aiemmin tiedottanut Security Advisoryssä 2416728 (https://www.microsoft.com/technet/security/advisory/2416728.mspx). Tiedote on luokitukseltaan tärkeä ja siinä kuvattu päivitys korjaa haavoittuvuuden eri .NET Frameworkin tällä hetkellä tuetuissa versioissa. Englanninkielinen yhteenveto ja varsinainen tietoturvatiedote löytyvät osoitteesta https://www.microsoft.com/technet/security/bulletin/ms10-070.mspx.
MS10-070 Vulnerability in ASP.NET Could Allow Information Disclosure (2418042)
Luokitus: Tärkeä (Important)
Vaikutus: Information Disclosure
Tiedote MS10-070 koskee .NET Frameworkin osana olevaa ASP.NET-ohjelmointirajapintaa. ASP.NETin avulla voidaan luoda ja suorittaa IIS-Web-palvelimella (Internet Information Services) olevia Web-sovelluksia. ASP.NET-rajapinnasta on löydetty haavoittuvuus, joka saattaa antaa vihamieliselle hyökkääjälle mahdollisuuden päästä käsiksi tietoihin, joihin hänellä ei normaalisti ole pääsyä (Information Disclosure –tyyppinen haavoittuvuus). Tällaista tietoa voi olla esimerkiksi ASP.NET-sovelluksen tallentama ns. View State, jonka avulla palvelin ja sovellus tallentaa istuntotietoa yksittt6äisten pyyntöjen välillä. .NET Frameworkin versioissa 3.5 (Service Pack 1) ja uudemmissa haavoittuvuus saattaa myös antaa hyökkääjälle mahdollisuuden päästä käsiksi palvelimelle tallennettuihin tiedostoihin. Näiden tietojen avulla hyökkääjä saattaa saada mahdollisuuden muiden hyökkäysten toteuttamiseen palvelimella.
Lisätietoja haavoittuvuudesta on englanninkielisessä tiedotteessa osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS10-070.mspx.
Huomautuksia:
- Vaikkakin haavoittuvuus esiintyy kaikissa Windows-järjestelmissä, joihin on asennettu jokin .NET Frameworkin tuetuista versioista, voidaan haavoittuvuutta hyödyntää ainoastaan järjestelmissä, joissa on otettu käyttöön IIS-Web-palvelin ja joissa IISin päällä suoritetaan vähintään yhtä ASP.NET-sovellusta. On kuitenkin myös huomattava, että haavoittuvuus koskee kaikkia sovelluksia, jotka hyödyntävät ASP.NET-ohjelmointirajapintaa, mukaan luettuna esimerkiksi Microsoftin Sharepoint-ohjelmisto.
- Haavoittuvuuden aiheuttamaa riskiä voidaan pienentää esimerkiksi muuttamalla ASP.NET-sovelluksen virhesivumäärityksiä sekä käyttämällä erillistä URLScan-toiminnallisuutta. Lisätietoja on englanninkielisen tiedotteen Workarounds-osiossa.
- Haavoittuvuus on ollut jo julkisesti tiedossa, ja Microsoft on julkaissut haavoittuvuudesta Security Advisoryn 2416728 (https://www.microsoft.com/technet/security/advisory/2416728.mspx).
* Korjaus ei vaadi järjestelmän uudelleenkäynnistystä asennuksen jälkeen edellyttäen, että korjattavat kohteet eivät ole käytössä asennuksen aikana.
* Korjauksen asennuksen voi peruuttaa.
* Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versiolla 2.1.
* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.
* Korjaus voidaan asentaa Windows Update- ja Microsoft Update -sivustojen sekä Windows Server Update Services -palvelun avulla.
* Korjaus tulee saataville Microsoftin Downloads-sivustoon (https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin löytyvät englanninkielisestä tiedotteesta osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS10-070.mspx).
Haavoittuvuus koskee .NET Frameworkin versioita 1.1, 2.0, 3.5 ja 4.0 seuraavissa käyttöjärjestelmissä:
- Microsoft Windows XP (Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)
- Microsoft Windows Vista (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Vista x64 Edition (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2008 - kaikki versiot (alkuperäinen versio ja Service Pack 2)
- Microsoft Windows 7 – kaikki versiot
- Microsoft Windows Server 2008 R2 - kaikki versiot
Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:
https://www.microsoft.com/technet/security/Bulletin/MS10-070.mspx