MSが「ASP.NET」の脆弱性を解決――Webアプリ情報が流出する恐れ - ITmedia エンタープライズ(情報元のブックマーク数)(was MS10-070が出たみたいだけど、MS米国サイトには情報があるが日本側には無いみたいだ・・・・

IT セキュリティ

ということで、記事になりました。

Microsoftは9月28日(現地時間)に臨時のセキュリティ情報を公開し、Webサービスの開発や運用に使われる「ASP.NET」の脆弱性を解決した。更新プログラムはまずDownload Centerで提供を開始し、Windows UpdateWindows Server Update Servicesなどを通じた自動配信は準備が整い次第開始する予定。
同社によると、ほぼ全バージョンの.NET Frameworkに情報流出の脆弱性が存在する。悪用された場合、サーバ上の暗号化されたデータやweb.configなどの情報が読み取られる可能性がある。
既にこの問題を突いた攻撃が横行しており、情報が流出すれば深刻な事態になりかねないと判断して、臨時更新プログラムの公開に踏み切った。深刻度については4段階で上から2番目の「重要」と評価している。

MSが「ASP.NET」の脆弱性を解決――Webアプリ情報が流出する恐れ - ITmedia エンタープライズ

やっと掲載されましたMS10-070の情報です。

セキュリティ情報 ID タイトル 概要 最大深刻度 脆弱性の影響 再起動情報 影響を受けるソフトウェア
MS10-070 ASP.NET脆弱性により、情報漏えいが起こる (2418042) このセキュリティ更新プログラムは ASP.NET に存在する一般に公開された脆弱性を解決します。この脆弱性で情報漏えいが起こる可能性があります。攻撃者がこの脆弱性を悪用した場合、ビュー ステートなどのサーバーによって暗号化されたデータを読み取る可能性があります。この脆弱性はデータの改ざんにも使用される可能性があります。この脆弱性の悪用に成功した場合、サーバーによって暗号化されたデータが解読され、改ざんされる可能性があります。Microsoft .NET Framework 3.5 Service Pack 1 より前の Microsoft .NET Framework のバージョンはこの脆弱性のファイルの内容の漏えいの影響は受けません。 重要 情報漏えい 再起動が必要な場合あり Microsoft Windows
http://www.microsoft.com/japan/technet/security/bulletin/ms10-sep.mspx

重要だけど、PATCH NOW!だよなぁ・・・jk

The core pieces in the advisory are probably in the sections that read
"In Microsoft .NET Framework 3.5 Service Pack 1 and above, this vulnerability can be used by an attacker to retrieve the contents of any file within the ASP.NET application, including web.config" and "This vulnerability can also be used for data tampering, which, if successfully exploited, could be used to decrypt and tamper with the data encrypted by the server."
Translated, this means that the vulnerability undermines basic web application security. I suspect that online shops and such might rate the risk that "an attacker can read any file" on their web application server a bit higher than just "important".
According to the bulletin, MSFT are aware of "active attacks".
In combination, this sure sounds like PATCH NOW! to me.

InfoSec Handlers Diary Blog - MS10-070 OOB Patch for ASP.NET vulnerability

InfoConはイエローに上げたそうです。24時間だけ何も無ければ、戻るみたいです

Update 1830UTC: Changing InfoCon to YELLOW, to raise awareness for this problem and patch. We'll go back to GREEN in 24hrs unless significant new information develops.

InfoSec Handlers Diary Blog - MS10-070 OOB Patch for ASP.NET vulnerability

メモメモ

ぁーそういうことか・・・.NET Frameworkのバージョンもあるのか・・・

AutomaticUpdatesは後日。

MS10-070 のセキュリティ更新プログラムはマイクロソフトが2010 年 9 月 29 日に定例外で公開したセキュリティ更新プログラムです。このセキュリティ更新プログラムは、2010 年 9 月18 日に公開したセキュリティ アドバイザリ (2416728) で説明した ASP.NET脆弱性に対応します。セキュリティ更新プログラムを適用していない環境で、攻撃者が ASP.NET がインストールされた Web サーバーに不正なリクエストを送信し、Web サイトが返したエラー コードを検証することによって、十分な情報を入手した場合、暗号化データを読み取る、または改ざんする可能性があります。マイクロソフトは影響を受けるすべての環境に対して MS10-070 のセキュリティ更新プログラムを早期に適用いただくことを推奨します。
MS10-070 の定例外のセキュリティ更新プログラムは、2010 年 9 月 29 日にダウンロードセンターから先行して提供を開始しました。AU/MU/WU/WSUS 経由での提供については、配信準備ができ次第、数日以内に配信を行います。

2010年9月29日 ASP.NET の脆弱性を修正 (定例外) – 日本のセキュリティチーム

ワンポイントも出ました!

2010年9月29日に定例外で公開した MS10-070: ASP.NETのセキュリティ情報に関する特別編のワンポイントセキュリティ情報を公開しました。
IT 管理者向けにセキュリティ更新プログラムの適用優先度に関する情報や回避策など、セキュリティ情報について知りたいポイントを凝縮してお伝えしています。

2010年9月のワンポイントセキュリティ [特別編] – 日本のセキュリティチーム

FAQが出ています。ASP.NETを有効にしている環境だけ影響を受け、ASPだと影響は受けない。

Q. MS10-070 のセキュリティ情報には、「主に ASP.NET がインストールされた Web サーバーがこの脆弱性の影響を受ける」とあります。私は、Web サーバーを構成していませんが、影響を受けますか?

A. ASP.NET を有効にしたWebサーバーを構成していない場合、この脆弱性の影響を直接受けることはありません。しかし、Webサーバーを構成していない場合でも、MS10-070 の影響を受けるソフトウェアに記載の製品をお使いのお客様は影響を受けるコンポーネントを含むため、今後Webサーバーを構成する可能性や新たな攻撃手法が確認される可能性を考慮して、MS10-070 のセキュリティ更新プログラムの自動更新が開始され次第、該当のセキュリティ更新プログラムが提供されます。

Q. 私の環境では、ASP.NET ではなく、ASP をインストールしています。この場合、影響を受けますか?

A. いいえ、ASPASP.NET は別のテクノロジーですので、直接影響を受けません。ただし、MS10-070 の影響を受けるソフトウェアに記載の製品をお使いのお客様は影響を受けるコンポーネントを含むため、MS10-070 のセキュリティ更新プログラムをインストールする必要があります。

Q. なぜ今回の定例外のセキュリティ更新プログラムは先行してダウンロードセンターからのみ提供されたのですか?

A. この脆弱性に対する攻撃を確認しており、データが損失した場合、影響が深刻になる可能性があるため、お客様 (特に大規模なエンタープライズホスティング プロバイダーおよび ISV) がご使用のコンピューターの更新を開始できるように、このセキュリティ更新プログラムを先行してダウンロード センターから提供しています。

MS10-070 定例外のセキュリティ情報 FAQ – 日本のセキュリティチーム


関連URL

screenshot