|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| Desbordamiento de búfer en ASP.NET (MS02-026) | ||
|---|---|---|
VSantivirus No. 700 - Año 6 - Viernes 7 de junio de 2002 Desbordamiento de búfer en ASP.NET (MS02-026) http://www.vsantivirus.com/vulms02-026 Aviso de seguridad: Desbordamiento de búfer en ASP.NET Nombre original: Unchecked Buffer in ASP.NET Worker Process (Q322289) Fecha original: 6/jun/02 Aplicación vulnerable: .NET Framework Severidad: Moderada, se deben cumplir ciertas condiciones Riesgo: Denegación de servicio, ejecución de código en forma arbitraria Referencia: Microsoft Security Bulletin MS02-026 ASP.NET es una colección de tecnologías que intentan ayudar a los desarrolladores a construir aplicaciones basadas en la Web. Estas aplicaciones confían en el protocolo HTTP para proveer conectividad. Una de las características del HTTP (denominada técnicamente "sin estado"), es que cada página solicitada por un usuario a un sitio, es considerada una solicitud independiente. Para compensar esto, ASP.NET provee una variedad de modos para manejar estas sesiones en forma conjunta (cada aplicación). Uno de esos modos es StateServer. Este modo guarda el estado de la sesión en un proceso separado. Este proceso puede estar ejecutándose en la misma máquina de la aplicación ASP.NET, o en otra diferente. Existe un búfer de almacenamiento que no es chequeado en una de las rutinas que maneja el proceso de las cookies en el modo StateServer. Esto puede provocar un desbordamiento de búfer, sobrescribiendo con datos aleatorios partes del propio programa en memoria. Manipulada esta información excedente por medio de un código especialmente creado, podría hacerse que un atacante reiniciara la aplicación ASP.NET. Cómo resultado, todos los usuarios conectados a la aplicación Web, verían reiniciarse su sesión, además de perder toda la información actual. Un factor que disminuye el riesgo, es que el modo StateServer no es el usado por defecto, debiendo la aplicación ASP.NET estar configurada especialmente para usarlo. Y aún en caso de ser usado, el riesgo solo existe si la aplicación utiliza o acepta cookies. Aquellos administradores, desarrolladores o usuarios que utilicen ASP.NET en .NET Framework, deberían descargar e instalar el parche que ya está disponible en esta página: http://www.microsoft.com/technet/security/bulletin/ms02-026.asp Glosario: .NET Framework es la nueva plataforma de Microsoft que permite la ejecución de aplicaciones, programas, y sitios Web, desarrollados en C#, J#, ASP.NET, etc. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com |
||
