Pari juttua tietoturvatiedotteesta MS10-070

Viime tiistaina julkaistiin siis tietoturvatiedote MS10-070 normaalin tietoturvatiedotteiden julkaisuaikataulun ulkopuolella. Tiedote koskee ASP.NET-ohjelmointirajapinnasta löytynyttä haavoittuvuutta, tiedotteen tarkempi kuvaus löytyy täältä. Tiistaina julkaisimme tiedotteeseen liittyvät päivitykset ainoastaan Microsoftin lataussivustoon, ja nyt päivitykset on julkaistu myös muiden jakelukanavien (Windows Update/Microsoft Update, automaattiset päivitykset, WSUS) kautta. Myös Microsoft Baseline Security Analyzer -työkalu tunnistaa ja osaa raportoida tietoturvatiedotteen asennustarpeesta.

Olen myös saanut jonkin verran kysymyksiä tietoturvatiedotteesta. Useimmissa tapauksissa kysyjä haluaa tietää, koskeeko haavoittuvuus esimerkiksi Microsoftin Exchange-palvelinta tai jotain muuta tuotettamme. Ja vastaushan on, että haavoittuvuutta voidaan hyödyntää kaikissa sellaisissa järjestelmissä, joissa a) on käytössä IIS-palvelin (Internet Information Services) ja b) joissa IIS-palvelimessa suoritetaan web-sovelluksia, jotka hyödyntävät ASP.NET-ohjelmointirajapintaa. Tämä kattaa monet Microsoftin tuotteet, mm. Exchange-palvelimen (mm. OWA-käyttöliittymä on ASP.NET-koodia), SharePoint-palvelimen, WSUS-palvelimen ja monia muita, sekä myös monia kolmansien osapuolten tuotteita.

Kannattaa toki huomata, että ASP.NET-ohjelmointirajapinta on osa .NET Framework -kokonaisuutta. Näin ollen päivitys tarjotaan ja asennetaan kaikkiin sellaisiin järjestelmiin, joihin on asennettu jokin .NET Frameworkin tuetuista versioista, riippumatta siitä, onko ko. järjestelmässä käytössä IIS-palvelin ja suoritetaanko siinä ASP.NET-koodia. Haavoittuvuutta voidaan kuitenkin hyödyntää ainoastaan järjestelmissä, jotka täyttävät yllä esitetyt vaatimukset.

Lisätietoja mm. MSRC:n blogissa https://blogs.technet.com/b/msrc/.