Deutsch | English

"Out-of-band"-Patch für Microsoft ASP.NET Problem

29. Dezember 2011

Microsoft veröffentlicht einen "Out-of-band" Patch für mehrere Bugs in ASP.NET.

Hintergrund und Dimension

Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab - im konkreten Fall stuft Microsoft das Risiko der mit diesem Patch behobenen Lücken als kritisch ein.

Beschreibung

Laut Microsoft behebt der gegenständliche Patch
  • eine Denial-of-Service (DOS) Möglichkeit - bereits durch vergleichsweise wenige speziell präparierte Anfragen an einen betroffenen Webserver, kann dessen Leistung derart beeinträchtigt werden, dass legitime Anfragen kaum noch abgearbeitet werden können.
    Dies wird von Microsoft als "wichtig" eingestuft.
  • ein Privilege Elevation-Problem, das nur unter bestimmten Umständen augenützt werden kann.
    Dies ist laut Microsoft "kritisch".

Während die Lücke auch in allen aktuellen Client-Versionen von Microsoft Windows vorhanden ist (.NET Framework), kann sie jedoch nur ausgenutzt werden, wenn der Internet Information Server (IIS) auf dem System aktiv ist. Dies sollte auf Client-Systemen nur selten der Fall sein.

Betroffene Software

  • Windows XP
    • Windows XP Service Pack 3
    • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003
    • Windows Server 2003 Service Pack 2
    • Windows Server 2003 x64 Edition Service Pack 2
    • Windows Server 2003 with SP2 for Itanium-based Systems
  • Windows Vista
    • Windows Vista Service Pack 2
    • Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008
    • Windows Server 2008 for 32-bit Systems Service Pack 2
    • Windows Server 2008 for x64-based Systems Service Pack 2
    • Windows Server 2008 for Itanium-based Systems Service Pack 2
  • Windows 7
    • Windows 7 for 32-bit Systems
    • Windows 7 for 32-bit Systems Service Pack 1
    • Windows 7 for x64-based Systems
    • Windows 7 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2
    • Windows Server 2008 R2 for x64-based Systems
    • Windows Server 2008 R2 for x64-based Systems Service Pack 1
    • Windows Server 2008 R2 for Itanium-based Systems
    • Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Abhilfe

Installation des bereitgestellten Updates, zum Beispiel über das Microsoft Download Center (http://www.microsoft.com/downloads/en/default.aspx).

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Vulnerability in ASP.NET Could Allow Denial of Service (englisch)
http://technet.microsoft.com/en-us/security/advisory/2659883
Microsoft Security Bulletin MS11-100 - Critical (englisch)
http://technet.microsoft.com/en-us/security/bulletin/ms11-100.mspx
Microsoft Security Bulletin Summary for December 2011 (englisch)
http://technet.microsoft.com/en-us/security/bulletin/ms11-dec
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Flash Player/Libraries - Patches nun auch für Microsoft Browser verfügbar
22. Februar 2017 | Beschreibung Adobe ...
Update: Kritische Lücke in Microsoft Windows ermöglicht DoS / Remote Code Execution via SMB - Updates nun verfügbar
3. Februar 2017 | ...
mehr ...
Workaround? Abdrehen!
21. März 2017 | Langsam ...
Propaganda auf Twitter
15. März 2017 | Der echte ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:08
Haftungsausschluss