[English readers: you can find English links in this post for your convenience]

Nella serata di ieri è stato pubblicato il bollettino di sicurezza MS11-100 come annunciato, eccomi qui a riepilogarvi le risorse utili per l’approfondimento e a fornirvi alcune considerazioni:

MSRC Blog > Microsoft releases MS11-100 for Security Advisory 2659883

Microsoft Security Research & Defense Blog > ASP.NET security update is live!

Indicazioni per utenti finali:

  • Assicurarsi di aver abilitato il meccanismo degli Aggiornamenti Automatici di Windows in modo da ricevere e installare automaticamente gli aggiornamenti appena pubblicati (potrebbero essere più di uno se il PC ha installate più versioni del .NET Framework), senza alcuna necessità di intervento da parte dell’utente (a parte assecondare l’eventuale necessità di un riavvio del sistema).
  • Gli aggiornamenti vengono installati automaticamente solo se sul PC viene rilevata la presenza del web server IIS (è abbastanza raro che si utilizzi un PC per pubblicare un sito web), ma sono comunque presenti nella lista degli aggiornamenti importanti che vengono proposti da Windows Update (ma non sono flaggati per l’installazione).

Maggiori dettagli tecnici per professionisti IT:

Il bollettino con i dettagli più tecnici è disponibile al link consueto:

MS11-100 - Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420)

  • Microsoft ha approfittato di questo rilascio per includere in questo bollettino la correzione di altre 3 vulnerabilità non pubbliche (=segnalate in modo privato a Microsoft), in aggiunta alla vulnerabilità pubblica citata nel Security Advisory 2659883, che è quella che ha dettato il rilascio straordinario.
  • Come per tutti i bollettini che riguardano il .NET Framework serve installare un aggiornamento per ogni versione vulnerabile (ma in questo caso lo sono tutte quelle attualmente supportate) presente sul sistema.
  • Prestare attenzione all’articolo della Microsoft Knowledge Base Article 2638420 che documenta le problematiche note relative all’installazione di questi aggiornamenti, in particolare segnalo che “The security updates that are offered in security bulletin MS11-100 change the way that ASP.NET creates forms authentication tickets. The new behavior is incompatible with the previous behavior. Tickets that are generated by using the new behavior cannot be read by servers that use the old behavior, and vice versa. Therefore, because of the ticket behavior change, administrators whose applications use forms authentication must take specific steps when they deploy the security updates offered in bulletin MS11-100 to make sure that all servers switch to the new behavior concurrently.
  • Il MMPC ha prodotto una signature per Forefront TMG > http://www.microsoft.com/security/portal/Threat/Encyclopedia/NIS.aspx?threat=Vulnerability-Win-ASPNET-POST-DoS-CVE-2011-3414.

Mi raccomando, aggiornate, aggiornate e fate aggiornare!

Feliciano

Other related posts/resources: