Lisähuomio tietoturvatiedotteesta MS11-100

Edellisessä tiedotetta MS11-100 käsittelevässä blogipostauksessa mainitsin päivityksen testaamisesta. Testauksen tärkeyttä ei voi liikaa korostaa – kaikkien vähäänkään kriittisempien webbipalvelimien osalta tämä päivitys on testattava huolella, koska sen asentaminen vaikuttaa mm. käyttäjätunnistuksen toimintaan, erityisesti käytettäessä lomakepohjaista tunnistusta (Forms Based Authentication). Lisäksi kannattaa huomioida myös tiedotteessa haavoittuvuuden CVE-2011-3416 kohdalla mainittu seikka palvelinfarmeista (web-palvelimista, joissa useita palvelimia on…

0

Tietoturvatiedote MS11-100 julkaistu normaalin aikataulun ulkopuolella

Microsoft julkaisi tietoturvatiedotteen MS11-100 normaalista aikataulusta poiketen eilen illalla 29.12.2011 n. klo 20.00 Suomen aikaa. Tietoturvatiedote koskee .NET Frameworkin ASP.NET-kirjastoa ja siinä on korjattu neljä eri haavoittuvuutta, mm. Security Advisoryssä 2659883 kuvattu Hash Table -toiminnallisuuteen liittyvä haavoittuvuus, joka on myös ollut julkisesti tiedossa ennen tiedotteen julkaisemista. Tiedote on luokitukseltaan kriittinen ja Microsoft suosittelee, että se…

1

Security Advisory 2659883 - Haavoittuvuus ASP.NET-kirjastossa

Microsoft on julkaissut uuden Security Advisoryn 2659883 otsikolla Vulnerability in ASP.NET Could Allow Denial of Service. Security Advisory koskee ASP.NET-kirjastoa kaikissa tällä hetkellä tuetuissa .NET Frameworkin versioissa. ASP.NET-kirjastosta on löydetty haavoittuvuus, joka liittyy kirjaston tapaan käsitellä hash table -tietoja web-palvelimessa, jossa jokin web-sivu voi vastaanottaa tietoja ASP.NET-pohjaiselle lomakkeelle HTTP POST -pyynnön välityksellä. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta…

0

Pari juttua tietoturvatiedotteesta MS10-070

Viime tiistaina julkaistiin siis tietoturvatiedote MS10-070 normaalin tietoturvatiedotteiden julkaisuaikataulun ulkopuolella. Tiedote koskee ASP.NET-ohjelmointirajapinnasta löytynyttä haavoittuvuutta, tiedotteen tarkempi kuvaus löytyy täältä. Tiistaina julkaisimme tiedotteeseen liittyvät päivitykset ainoastaan Microsoftin lataussivustoon, ja nyt päivitykset on julkaistu myös muiden jakelukanavien (Windows Update/Microsoft Update, automaattiset päivitykset, WSUS) kautta. Myös Microsoft Baseline Security Analyzer -työkalu tunnistaa ja osaa raportoida tietoturvatiedotteen asennustarpeesta. Olen…

0

Tallenne tietoturvatiedotteen MS10-070 webcastista

Pidimme Pohjalan Jannen kanssa keskiviikkona 29.9. normaalin aikataulun ulkopuolella julkaistua tietoturvatiedotetta MS10-070 koskevan webcastin, jonka tallenteen voi käydä katsomassa täältä.

0

Microsoft julkaissut ASP.NET-haavoittuvuutta koskevan tietoturvatiedotteen

Microsoft on eilen 28.9.2010 n. Klo 20.00 julkaissut normaalin kuukausittaisen julkaisuaikataulun ulkopuolella yhden (1) uuden tietoturvatiedotteen MS10-070, josta kooste alla. Tietoturvatiedote koskee n. pari viikkoa sitten julkisuuteen tullutta .NET Frameworkin ASP.NET-ohjelmointirajapinnassa olevaa haavoittuvuutta, josta Microsoft on aiemmin tiedottanut Security Advisoryssä 2416728 (http://www.microsoft.com/technet/security/advisory/2416728.mspx). Tiedote on luokitukseltaan tärkeä ja siinä kuvattu päivitys korjaa haavoittuvuuden eri .NET Frameworkin…

0

Webcast ylimääräisestä tietoturvatiedotteesta syyskuussa 2010

Microsoft julkaisi eilen illalla 28.9.2010 normaalin julkaisuaikataulun ulkopuolella ASP.NET-haavoittuvuutta koskevan tietoturvatiedotteen ja siihen liittyvät korjaukset. Pidämme myös tästä yksittäisestä tietoturvatiedotteesta webcastin. Kuten aiemminkin, webcastin agendalla on ensin tiedotteen yleisempi läpikäynti, sen jälkeen hieman yleisiä tietoja tiedotteesta ja siihen liittyvistä tietoturvapäivityksistä, kuten tietoja päivitystarpeen tunnistamisesta ja päivitysten jakelusta, ja lopuksi vielä joitain muita tietoturvaan liittyviä tietoja. …

0

Ennakkotieto - Tietoturvatiedote normaalin aikataulun ulkopuolella

Microsoft julkaisee tänään 28.9.2010 yhden uuden tietoturvatiedotteen normaalin aikataulun ulkopuolella. Tiedote koskee reilut puolitoista viikkoa sitten julkisuuteen tullutta ASP.NET-haavoittuvuutta, josta julkaisimme aiemmin Security Advisoryn 2416728. Tiedote julkaistaan 28.9. illalla n. klo 20.00 Suomen aikaa, ja siitä tiedotetaan normaalisti sekä tämän blogin kautta että myös sähköpostitse. Lisäksi järjestämme huomenna 29.9. erillisen Webcastin aiheesta. Lisätietoja Webcastistä tulee…

0

Päivitys pikakuvakehaavoittuvuuteen julkaistu normaalin aikataulun ulkopuolella

Kuten jo perjantaisessa ennakkotiedotteessa kävi ilmi, Microsoft on eilen 2.8.2010 n. Klo 20.00 julkaissut normaalin kuukausittaisen julkaisuaikataulun ulkopuolella yhden (1) uuden tietoturvatiedotteen MS10-046, josta kooste alla. Tietoturvatiedote koskee reilut pari viikkoa sitten julkisuuteen tullutta Windowsin Shellissä havaittua pikakuvakkeiden käsittelyä koskevaa haavoittuvuutta, josta Microsoft on aiemmin tiedottanut Security Advisoryssä 2286198 (http://www.microsoft.com/technet/security/advisory/2286198.mspx ). Tiedote on luokitukseltaan kriittinen…

0

Webcast ylimääräisestä tietoturvatiedotteesta

Viime perjantaisen ennakkoilmoituksen mukaisesti Microsoft julkaisee tänään maanantaina 2.8.2010 normaalin julkaisuaikataulun ulkopuolella ylimääräisen tietoturvatiedotteen ja siihen liittyvät päivitykset, jotka korjaavat reilut pari viikkoa sitten julkisuuteen tulleen haavoittuvuuden Windowsin Shellin pikakuvakkeiden käsittelyssä. Järjestämme aiheesta myös webcastin, jonka tavoitteena on antaa tietoa haavoittuvuudesta ja siihen liittyvistä korjauksista ja vastata kysymyksiin, joita osallistujilla mahdollisesti aiheesta on herännyt. Kysymyksiä…

0