"Out-of-band"-Patch für Microsoft ASP.NET Problem

29. Dezember 2011

Microsoft veröffentlicht einen "Out-of-band" Patch für mehrere Bugs in ASP.NET.

Hintergrund und Dimension

Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab - im konkreten Fall stuft Microsoft das Risiko der mit diesem Patch behobenen Lücken als kritisch ein.

Beschreibung

Laut Microsoft behebt der gegenständliche Patch
  • eine Denial-of-Service (DOS) Möglichkeit - bereits durch vergleichsweise wenige speziell präparierte Anfragen an einen betroffenen Webserver, kann dessen Leistung derart beeinträchtigt werden, dass legitime Anfragen kaum noch abgearbeitet werden können.
    Dies wird von Microsoft als "wichtig" eingestuft.
  • ein Privilege Elevation-Problem, das nur unter bestimmten Umständen augenützt werden kann.
    Dies ist laut Microsoft "kritisch".

Während die Lücke auch in allen aktuellen Client-Versionen von Microsoft Windows vorhanden ist (.NET Framework), kann sie jedoch nur ausgenutzt werden, wenn der Internet Information Server (IIS) auf dem System aktiv ist. Dies sollte auf Client-Systemen nur selten der Fall sein.

Betroffene Software

  • Windows XP
    • Windows XP Service Pack 3
    • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003
    • Windows Server 2003 Service Pack 2
    • Windows Server 2003 x64 Edition Service Pack 2
    • Windows Server 2003 with SP2 for Itanium-based Systems
  • Windows Vista
    • Windows Vista Service Pack 2
    • Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008
    • Windows Server 2008 for 32-bit Systems Service Pack 2
    • Windows Server 2008 for x64-based Systems Service Pack 2
    • Windows Server 2008 for Itanium-based Systems Service Pack 2
  • Windows 7
    • Windows 7 for 32-bit Systems
    • Windows 7 for 32-bit Systems Service Pack 1
    • Windows 7 for x64-based Systems
    • Windows 7 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2
    • Windows Server 2008 R2 for x64-based Systems
    • Windows Server 2008 R2 for x64-based Systems Service Pack 1
    • Windows Server 2008 R2 for Itanium-based Systems
    • Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Abhilfe

Installation des bereitgestellten Updates, zum Beispiel über das Microsoft Download Center (http://www.microsoft.com/downloads/en/default.aspx).

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Vulnerability in ASP.NET Could Allow Denial of Service (englisch)
http://technet.microsoft.com/en-us/security/advisory/2659883
Microsoft Security Bulletin MS11-100 - Critical (englisch)
http://technet.microsoft.com/en-us/security/bulletin/ms11-100.mspx
Microsoft Security Bulletin Summary for December 2011 (englisch)
http://technet.microsoft.com/en-us/security/bulletin/ms11-dec