Actualización para vulnerabilidad en .NET Framework MS11-100

por Daniel Seveso

El pasado 29 de Diciembre Microsoft publicó la actualización de seguridad MS11-100 para todas las versiones de sistemas operativos Windows. Esta actualización resuelve vulnerabilidades recientemente reportadas en Microsoft .NET Framework.

La inforamción completa de esta actualización pueden encontrarla en Microsoft Security Bulletin MS11-100 – Critical.

Recomendación

La actualización se encuentra disponible en los servidores de Windows Update, por lo que nuestros clientes que utilizan Windows Update para descarga e instalación automática de actualizaciones, no necesitan tomar ninguna acción.

Si Windows Update no está configurado para la instalación automática de actualizaciones, es necesario correr Windows Update, consultar por actualizaciones pendientes e instalarla en forma manual. Dependiendo de las versiones de .Net Framework coexistiendo en su máquina es posible que requiera más de un paquete para completar la actualización de acuerdo con la lista del artículo ID 2638420.

Problemas conocidos

La actualización de seguridad cambia el formato de los tickets de autenticación para aplicaciones que usan Form Based Authentication. Este cambio exige que en escenarios de balanceo de carga o granjas de servidores (Web Farms), todos los servidores miembros tengan la actualización en forma simultánea. En caso contrario los requerimientos de autenticación podrían fallar con el siguiente evento en el log de Aplicaciones:

Event ID: 1315
Event code: 4005
Event message: Forms authentication failed for the request. Reason: The ticket supplied was invalid.

Este problema está documentado en el artículo ID 2661404. Para que la actualización no impacte su granja en producción, vea los métodos sugeridos de instalación.

El artículo ID 2638420 y sus enlaces, serán actualizados describiendo cualquier otro inconveniente reportado.

Referencias