"Out-of-band"-Patch für Microsoft ASP.NET Problem
28. September 2010
Informationsquelle(n):
Vulnerability in ASP.NET Could Allow Information Disclosure (englisch)
http://www.microsoft.com/technet/security/advisory/2416728.mspx
Microsoft Security Bulletin MS10-070 (englisch)
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx
Microsoft Download Center (englisch/deutsch)
http://www.microsoft.com/downloads/en/default.aspx
Padding oracles everywhere (englisch)
http://ekoparty.org/juliano-rizzo-2010.php
Microsoft veröffentlicht einen "Out-of-band" Patch für den aktuellen Bug in ASP.NET.
Hintergrund und Dimension
Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab - im konkreten Fall stuft Microsoft das Risiko der mit diesem Patch behobenen Lücke als zumindest teilweise kritisch ein.Microsoft weist auch ausdrücklich darauf hin, dass zumindest vereinzelt bereits aktiv versucht wird, diese Lücke auszunutzen.
Beschreibung
Durch den Fehler können gewisse Statusinformationen (ViewStates) und Cookies ausgelesen und unberechtigt Dateien vom Server heruntergeladen werden. Es kann auch möglich sein, durch gefälschte Authentication Tickets administrativen Zugriff auf Applikationen zu erlangen (siehe http://ekoparty.org/juliano-rizzo-2010.php).Während die Lücke auch in allen aktuellen Client-Versionen von Microsoft Windows vorhanden ist (.NET Framework), kann sie jedoch nur ausgenutzt werden, wenn ein Webserver (IIS) auf dem System aktiv ist. Dies sollte auf Client-Systemen nur selten der Fall sein.
Betroffene Software
- Windows XP
- Windows XP Media Center Edition 2005
- Windows XP Tablet PC Edition 2005
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista
- Windows Vista Service Pack 1
- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 1
- Windows Vista x64 Edition Service Pack 2
- Windows Server 2008
- Windows Server 2008 for 32-bit Systems
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems
- Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows 7
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for Itanium-based systems
Abhilfe
Microsoft stellt den Patch momentan nur über das Microsoft Download Center (http://www.microsoft.com/downloads/en/default.aspx) bereit, einen Zugriff über die gewohnte "Automatische Updates"-Funktion soll es erst später geben.
CERT.at rät daher dazu, diesen Patch "händisch" herunterzuladen
und zeitnah auf entsprechenden Server Systemen zu testen/installieren.
Client-PCs ohne aktiven Webserver können auf die Verfügbarkeit
via "Automatische Updates" warten.
Allgemeiner Hinweis zur Erhöhung der Computersicherheit
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.Informationsquelle(n):
Vulnerability in ASP.NET Could Allow Information Disclosure (englisch)
http://www.microsoft.com/technet/security/advisory/2416728.mspx
Microsoft Security Bulletin MS10-070 (englisch)
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx
Microsoft Download Center (englisch/deutsch)
http://www.microsoft.com/downloads/en/default.aspx
Padding oracles everywhere (englisch)
http://ekoparty.org/juliano-rizzo-2010.php