CERT-FI haavoittuvuustiedote 017/2005

9.2.2005

Haavoittuvuus Microsoft ASP.NET -komponentissa

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- luottamuksellisen tiedon hankkiminen - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft ASP.NET-komponenttia käytetään www-sovellusten tekoon Microsoft IIS (Internet Information Server) -palvelimille. Microsoft on julkaissut korjauksen ASP.NET -komponentista löydettyyn haavoittuvuuteen, mitä on käsitelty CERT-FI:n julkaisemassa tietoturva-nyt artikkelissa 8.10.2004.

Löydetty haavoittuvuus liittyy ASP.NET -komponentin tapaan käsitellä www-pyynnöissä olevia URL-osoitteita. Haavoittuvuutta voidaan hyväksikäyttää tietyllä tavalla muokatun URL-osoitteen avulla. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista ohittaa ASP.NET -www-sivuston turvaominaisuudet ja päästä käsiksi www-palvelimella oleviin tietoihin.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft .NET Framework 1.0 Service Pack 2 ja Service Pack 3

• Microsoft .NET Framework 1.1

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeiden mukaisesti:

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0847

Kotitietojärjestelmien käyttäjät voivat ladata korjaustiedoston myös osoitteesta:

http://windowsupdate.microsoft.com

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/ms05-004.mspx

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0847

PÄIVITYSHISTORIA:

09.02.2005: Julkaistu

Sivua päivitetty 18.07.2007

Tulostusversio