Tietoturvatiedote MS11-100 julkaistu normaalin aikataulun ulkopuolella

Microsoft julkaisi tietoturvatiedotteen MS11-100 normaalista aikataulusta poiketen eilen illalla 29.12.2011 n. klo 20.00 Suomen aikaa. Tietoturvatiedote koskee .NET Frameworkin ASP.NET-kirjastoa ja siinä on korjattu neljä eri haavoittuvuutta, mm. Security Advisoryssä 2659883 kuvattu Hash Table -toiminnallisuuteen liittyvä haavoittuvuus, joka on myös ollut julkisesti tiedossa ennen tiedotteen julkaisemista. Tiedote on luokitukseltaan kriittinen ja Microsoft suosittelee, että se asennetaan mahdollisimman nopeasti, erityisesti järjestelmiin, joihin on asennettu jokin tuetuista .NET Frameworkin versioista ja joissa käytetään Internet Information Services -web-palvelua ja joissa suoritetaan ASP.NET-sovelluksia.

Tiedote koskee seuraavia .NET Frameworkin versioita: 
- Microsoft .NET Framework 1.1 (Service Pack 1)
- Microsoft .NET Framework 2.0 (Service Pack 2)
- Microsoft .NET Framework 3.5 (Service Pack 1)
- Microsoft .NET Framework 3.51
- Microsoft .NET Framework 4 

Lisätietoja löytyy seuraavista lähteistä:
- Varsinainen tiedote MS11-100
- MSRC:n blogi
- Security Research and Defense -blogi
- Scott Guthrien ASP.NET-blogi

Muutama huomio tästä tietoturvatiedotteesta ja siihen liittyvistä päivityksistä:

  • Haavoittuvuudet sijaitsevat siis ASP.NET-toiminnallisuudessa sekä ASP.NET-kirjastoissa, jotka ovat osa .NET Frameworkkia. Näin ollen päivitystä tarjotaan kaikkiin järjestelmiin, joihin on asennettu jokin edellä mainituista .NET Frameworkin versioista.
  • Haavoittuvuuksia voi kuitenkin hyödyntää ainoastaan, jos järjestelmässä on jokin sovellus, joka hyödyntää ASP.NET-toiminnallisuutta. Yleensä ASP.NET-sovellus vaatii, että järjestelmässä on Internet Information Server -web-palvelu. IIS-palvelu ei ole oletuksena käytössä missään Windowsin versiossa, eikä ASP.NET-toiminnallisuutta myöskään käytetä oletuksena.
  • Edellä mainituista seikoista johtuen Microsoft suosittelee, että päivitys asennetaan mahdollisimman nopeasti vähintäänkin järjestelmiin, joissa IIS-palvelu on asennettuna ja käytössä. Toki korjaus kannattaa asentaa kaikkiin järjestelmiin, joihin on asennettu jokin edellä mainituista .NET Frameworkin versioista, mutta ASP.NET-sovelluksia pyörittävät ja IIS-palvelulla varustetut järjestelmät ovat kaikkein kriittisimpiä.   
  • Kannattaa myös muistaa, että samaan järjestelmään voi olla ja usein onkin asennettuna useita eri versioita .NET Frameworkista. Kaikkiin tuettuihin .NET Frameworkin versioihin on olemassa omat päivityksensä, ja päivitys on asennettava jokaiseen järjestelmään asennettuun .NET Frameworkin versioon. Tämä on erityisen tärkeää silloin, kun päivitysten tunnistamiseen ja jakeluun käytetään jotain muuta kuin Microsoftin tunnistus- tai jakelumenetelmää. Microsoftin tarjoamat tunnistus- ja jakelumenetelmät (esim. MBSA, Microsoft Update ja WSUS) tunnistavat eri .NET Frameworkin versiot automaattisesti ja asentavat niille tarvittavat päivitykset, mutta näin ei välttämättä ole, jos käytetään jotain muita menetelmiä.
  • .NET Frameworkista on myös versioita, joita ei enää tueta. Nämä versiot on syytä poistaa ja varmistaa, että järjestelmään on asennettu vain versioita, joita edelleen tuetaan.
  • Ennen päivitysten käyttöönottoa niiden toimivuus on syytä huolellisesti testata, jotta voidaan varmistaa, että muutokset eivät vaikuta ASP.NET-sovellusten toimintaan.