Obok zapowiedzianej poprawki zapobiegającej DoS opublikowane zostały także poprawki na inne wykryte przy okazji problemy.

Biuletyn zawiera poprawki na następująco podatności:

• Collisions in HashTable May Cause DoS Vulnerability - CVE-2011-3414
• Insecure Redirect in .NET Form Authentication Vulnerability - CVE-2011-3415
• ASP.Net Forms Authentication Bypass Vulnerability - CVE-2011-3416
• ASP.NET Forms Authentication Ticket Caching Vulnerability - CVE-2011-3417

Wśród nich jako najgroźniejsza (krytyczna, podniesienie uprawnień) oceniona została "ASP.Net Forms Authentication Bypass Vulnerability - CVE-2011-3416".

Warto zwrócić uwagę na to, że podatności mogą być wykorzystywane nie tylko w klasycznych serwerach WWW, ale w wszystkich aplikacjach WWW, np. w Exchange Outlook Web Access/Outlook Web App, SharePoint itp. Dodatkowo należy zwrócić uwagę na inne aplikacje webowe i silniki zainstalowane na maszynie (np. PHP - odporne są znajdujące się obecnie w fazie Release Candidate wersje 5.3.9 oraz 5.4.x, Tomcat czy Ruby). Niewykluczowe, że poza DoS-em znajdują się w nich równie poważne problemy co w ASP.NET.

Nowy biuletyn (MS11-100) zastępuje opublikowane wcześniej w tym roku biuletyny MS11-070 oraz MS11-078 i w czasie instalacji może wymagać restartu.

Więcej: