[SECURITY-L] CAIS-Alerta: Vulnerabilidade na validacao de enderecos do ASP.NET (MS05-004)
CSIRT - UNICAMP
security em unicamp.br
Ter Fev 15 08:57:53 -02 2005
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Vulnerabilidade na validacao de enderecos do ASP.NET
(MS05-004)
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 11 Feb 2005 14:38:38 -0200 (BRDT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS esta' repassando o alerta da Microsoft, intitulado "MS05-004 -
ASP.NET Path Validation Vulnerability (887219)", que trata de uma
vulnerabilidade presente em uma rotina de uniformizacao utilizada pelo
ASP.NET no mapeamento de um pedido web.
Se explorada, a vulnerabilidade pode permitir que um atacante burle a
seguranca de um website ASP.NET, obtendo assim acesso nao autorizado. Caso
um atacante consiga explorar esta vulnerabilidade, ele podera' vir a
executar uma serie de acoes, dependendo do conteudo do website. A
vulnerabilidade e' considerada importante pela Microsoft.
Sistemas afetados:
Sistemas que possuem o Microsoft .NET Framework 1.0 ou Microsoft .NET
Framework 1.1 instalado em:
. Windows 2000 Service Pack 3
. Windows 2000 Service Pack 4
. Windows XP Service Pack 1
. Windows XP Service Pack 2
. Windows Server 2003
. Windows XP Tablet PC Edition
. Windows XP Media Center Edition
Correcoes disponiveis:
Recomenda-se fazer a atualizacao para as versoes disponiveis em:
Sistemas que possuem Microsoft .NET Framework 1.0
- -------------------------------------------------
Atualizacao para .NET Framework 1.0 Service Pack 3 para os sistemas
. Windows 2000 Service Pack 3
. Windows 2000 Service Pack 4
. Windows XP Service Pack 1
. Windows XP Service Pack 2
. Windows Server 2003
Download da atualizacao:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4E6D56E5-3D8D-423B-99A1-41EDF23D65BC
Atualizacao para .NET Framework 1.0 Service Pack 3 para os sistemas
. Windows XP Tablet PC Edition
. Windows XP Media Center Edition
Download da atualizacao:
http://www.microsoft.com/downloads/details.aspx?FamilyId=EE611D27-52CF-43DB-BB97-21318C7FAA70
Atualizacao para .NET Framework 1.0 Service Pack 2 para os sistemas
. Windows 2000 Service Pack 3
. Windows 2000 Service Pack 4
. Windows XP Service Pack 1
. Windows XP Service Pack 2
. Windows Server 2003
Download da atualizacao:
http://www.microsoft.com/downloads/details.aspx?FamilyId=3271ACD5-EE3C-4BDF-AE28-56D2DF77151E
Atualizacao para .NET Framework 1.0 Service Pack 2 para os sistemas
. Windows XP Tablet PC Edition
. Windows XP Media Center Edition
Download da atualizacao:
http://www.microsoft.com/downloads/details.aspx?FamilyId=33D4D33E-473F-4842-A3A8-C8266AEE8FAB
Sistemas que possuem Microsoft .NET Framework 1.1
- -------------------------------------------------
Atualizacao para .NET Framework 1.1 Service Pack 1 para os sistemas
. Windows 2000 Service Pack 3
. Windows 2000 Service Pack 4
. Windows XP Service Pack 1
. Windows XP Service Pack 2
. Windows XP Tablet PC Edition
. Windows XP Media Center Edition
Download da atualizacao:
http://www.microsoft.com/downloads/details.aspx?FamilyId=8EC6FB8A-29EB-49CF-9DBC-1A0DC2273FF9
Atualizacao para .NET Framework 1.1 Service Pack 1 para os sistemas
. Windows Server 2003
Download da atualizacao:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9BBD5617-49AE-40BF-B0FA-F9049349C6F5
Atualizacao para .NET Framework 1.1 para os sistemas
. Windows 2000 Service Pack 3
. Windows 2000 Service Pack 4
. Windows XP Service Pack 1
. Windows XP Service Pack 2
. Windows XP Tablet PC Edition
. Windows XP Media Center Edition
Download da atualizacao:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C5E19719-000F-456A-BEAB-5BD7949F8AA2
Atualizacao para .NET Framework 1.1 para os sistemas
. Windows Server 2003
Download da atualizacao:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E54BE8BE-22AF-4390-86E1-25D76794D5C7
Mais informacoes:
. MS05-004 - ASP.NET Path Validation Vulnerability (887219)
http://www.microsoft.com/technet/security/bulletin/ms05-004.mspx
. Vulnerability Note VU#283646 - Microsoft ASP.NET fails to perform proper
canonicalization
http://www.kb.cert.org/vuls/id/283646
. Microsoft Brasil Security
http://www.microsoft.com/brasil/security
. Technet Brasil - Central de Seguranca
http://www.technetbrasil.com.br/seguranca
Identificador CVE (http://cve.mitre.org): CAN-2004-0847
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.
Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBQgzfpukli63F4U8VAQG3SwP7Bosv8ClVrqfEagA0Hd5mP9lMRIpivdnz
Z5X9/ibTnzBaJG4pGs+8yY2W4pwAyN80yKTK3hWkLzGskvaTzdf2U8jD2CKxLrWt
BSPVUP8AyT9dWzyC1ZfCNwIIWEIfENmtdYDJXLi7MuyOH+RItkoI8xHPxlB+NTZd
Fnr22l8FHKA=
=1Jt4
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L