[Warning] "Out-of-band"-Patch für Microsoft ASP.NET Problem
Robert Waldner
waldner at cert.at
Thu Dec 29 21:23:33 CET 2011
29. Dezember 2011
Microsoft veröffentlicht einen "Out-of-band" Patch für mehrere Bugs
in ASP.NET.
Hintergrund und Dimension
Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal
pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und
sieht davon nur in besonders wichtigen Ausnahmefällen ab - im
konkreten Fall stuft Microsoft das Risiko der mit diesem Patch
behobenen Lücken als kritisch ein.
Beschreibung
Laut Microsoft behebt der gegenständliche Patch
* eine Denial-of-Service (DOS) Möglichkeit - bereits durch
vergleichsweise wenige speziell präparierte Anfragen an einen
betroffenen Webserver, kann dessen Leistung derart
beeinträchtigt werden, dass legitime Anfragen kaum noch
abgearbeitet werden können.
Dies wird von Microsoft als "wichtig" eingestuft.
* ein Privilege Elevation-Problem, das nur unter bestimmten
Umständen augenützt werden kann.
Dies ist laut Microsoft "kritisch".
Während die Lücke auch in allen aktuellen Client-Versionen von
Microsoft Windows vorhanden ist (.NET Framework), kann sie jedoch nur
ausgenutzt werden, wenn der Internet Information Server (IIS) auf dem
System aktiv ist. Dies sollte auf Client-Systemen nur selten der Fall
sein.
Betroffene Software
* Windows XP
+ Windows XP Service Pack 3
+ Windows XP Professional x64 Edition Service Pack 2
* Windows Server 2003
+ Windows Server 2003 Service Pack 2
+ Windows Server 2003 x64 Edition Service Pack 2
+ Windows Server 2003 with SP2 for Itanium-based Systems
* Windows Vista
+ Windows Vista Service Pack 2
+ Windows Vista x64 Edition Service Pack 2
* Windows Server 2008
+ Windows Server 2008 for 32-bit Systems Service Pack 2
+ Windows Server 2008 for x64-based Systems Service Pack 2
+ Windows Server 2008 for Itanium-based Systems Service Pack 2
* Windows 7
+ Windows 7 for 32-bit Systems
+ Windows 7 for 32-bit Systems Service Pack 1
+ Windows 7 for x64-based Systems
+ Windows 7 for x64-based Systems Service Pack 1
* Windows Server 2008 R2
+ Windows Server 2008 R2 for x64-based Systems
+ Windows Server 2008 R2 for x64-based Systems Service Pack 1
+ Windows Server 2008 R2 for Itanium-based Systems
+ Windows Server 2008 R2 for Itanium-based Systems Service
Pack 1
Abhilfe
Installation des bereitgestellten Updates, zum Beispiel über das
Microsoft Download Center
(http://www.microsoft.com/downloads/en/default.aspx).
Allgemeiner Hinweis zur Erhöhung der Computersicherheit
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall Software
installiert zu haben und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Vulnerability in ASP.NET Could Allow Denial of Service (englisch)
http://technet.microsoft.com/en-us/security/advisory/2659883
Microsoft Security Bulletin MS11-100 - Critical (englisch)
http://technet.microsoft.com/en-us/security/bulletin/ms11-100.mspx
Microsoft Security Bulletin Summary for December 2011 (englisch)
http://technet.microsoft.com/en-us/security/bulletin/ms11-dec
--
-- CERT Austria
-- Web: http://www.cert.at/
-- Tel.: +43 1 505 64 16 78
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20111229/f398746f/attachment.sig>
More information about the Warning
mailing list