[Warning] "Out-of-band"-Patch für Microsoft ASP.NET Problem
Robert Waldner
waldner at cert.at
Tue Sep 28 19:29:35 CEST 2010
28. September 2010
Microsoft veröffentlicht einen "Out-of-band" Patch für den aktuellen
Bug in ASP.NET.
Hintergrund und Dimension
Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal
pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und
sieht davon nur in besonders wichtigen Ausnahmefällen ab - im
konkreten Fall stuft Microsoft das Risiko der mit diesem Patch
behobenen Lücke als zumindest teilweise kritisch ein.
Microsoft weist auch ausdrücklich darauf hin, dass zumindest
vereinzelt bereits aktiv versucht wird, diese Lücke auszunutzen.
Beschreibung
Durch den Fehler können gewisse Statusinformationen (ViewStates) und
Cookies ausgelesen und unberechtigt Dateien vom Server
heruntergeladen werden. Es kann auch möglich sein, durch gefälschte
Authentication Tickets administrativen Zugriff auf Applikationen zu
erlangen (siehe http://ekoparty.org/juliano-rizzo-2010.php).
Während die Lücke auch in allen aktuellen Client-Versionen von
Microsoft Windows vorhanden ist (.NET Framework), kann sie jedoch nur
ausgenutzt werden, wenn ein Webserver (IIS) auf dem System aktiv ist.
Dies sollte auf Client-Systemen nur selten der Fall sein.
Betroffene Software
* Windows XP
+ Windows XP Media Center Edition 2005
+ Windows XP Tablet PC Edition 2005
+ Windows XP Service Pack 3
+ Windows XP Professional x64 Edition Service Pack 2
* Windows Server 2003
+ Windows Server 2003 Service Pack 2
+ Windows Server 2003 x64 Edition Service Pack 2
+ Windows Server 2003 with SP2 for Itanium-based Systems
* Windows Vista
+ Windows Vista Service Pack 1
+ Windows Vista Service Pack 2
+ Windows Vista x64 Edition Service Pack 1
+ Windows Vista x64 Edition Service Pack 2
* Windows Server 2008
+ Windows Server 2008 for 32-bit Systems
+ Windows Server 2008 for 32-bit Systems Service Pack 2
+ Windows Server 2008 for x64-based Systems
+ Windows Server 2008 for x64-based Systems Service Pack 2
+ Windows Server 2008 for Itanium-based Systems
+ Windows Server 2008 for Itanium-based Systems Service Pack 2
* Windows 7
+ Windows 7 for 32-bit Systems
+ Windows 7 for x64-based Systems
* Windows Server 2008 R2
+ Windows Server 2008 R2 for x64-based Systems
+ Windows Server 2008 R2 for Itanium-based systems
Abhilfe
Microsoft stellt den Patch momentan nur über das Microsoft Download
Center (http://www.microsoft.com/downloads/en/default.aspx) bereit,
einen Zugriff über die gewohnte "Automatische Updates"-Funktion soll
es erst später geben.
CERT.at rät daher dazu, diesen Patch "händisch" herunterzuladen und
zeitnah auf entsprechenden Server Systemen zu testen/installieren.
Client-PCs ohne aktiven Webserver können auf die Verfügbarkeit via
"Automatische Updates" warten.
Allgemeiner Hinweis zur Erhöhung der Computersicherheit
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall Software
installiert zu haben und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Vulnerability in ASP.NET Could Allow Information Disclosure
(englisch)
http://www.microsoft.com/technet/security/advisory/2416728.mspx
Microsoft Security Bulletin MS10-070 (englisch)
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx
Microsoft Download Center (englisch/deutsch)
http://www.microsoft.com/downloads/en/default.aspx
Padding oracles everywhere (englisch)
http://ekoparty.org/juliano-rizzo-2010.php
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 253 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20100928/892e4e2e/attachment.sig>
More information about the Warning
mailing list