Nei giorni scorsi vi abbiamo pre-allertato sul rilascio di un security update relativo ad una vulnerabilità di ASP.NET,  relativa a come viene usato il sistema di crittografia,  che in alcune circostanze può rivelare informazioni utili ad un attacco tramite i codici di errori nella risposta http (ASP.NET Padding Oracle Vulnerability - CVE-2010-3332).

Ieri è stato rilasciato un bollettino di sicurezza straordinario, insieme ad una serie di package di aggiornamento che consentono di risolvere la vulnerabilità. I package al momento sono disponibili per l’installazione manuale dal Download Center, e nei prossimi giorni saranno installabili tramite Windows Update e Microsoft Update.

Essendo una vulnerabilità legata ad ASP.Net, un componente del .Net Framework, è necessario applicare l’aggiornamento su tutte le macchine Windows Client e Windows Server in cui sono attive le funzionalità di web server tramite IIS – Internet Information Services e abilitati i componenti di ASP.Net. Anche SharePoint utilizza ASP.Net, e qundi anche le installazioni SharePoint sono potenzialmente a rischio, e quindi anche loro necessitano dell’aggiornamento.

Prima di fornirvi i puntatori ai package di aggiornamento, vi segnalo alcune risorse importanti da consultare per capire il problema prima di procedere all'installazione degli update:

Ringrazio Pietro e Feliciano per le notizie che hanno raccolto in questi giorni.

Come vi dicevo nel Download Center sono disponibili i Package di Aggiornamento, che vi riporto qui sotto, categorizzati da ScottGu. Se avete problemi nel rilevare la versione del .Net Framework installata nella vostra macchina, potete seguire le indicazioni del post Come capire e scoprire quale versione di .NET Framework è installata .

Windows Server 2008 R2 and Windows 7

.NET Framework Version

KB Article

Patch

.NET Framework 3.5.1 (Default)

KB2416471

Download

.NET Framework 4

KB2416472

Download

Windows Server 2008 SP2, Windows Vista SP2

.NET Framework Version

KB Article

Patch

.NET Framework 2.0 SP2 (default)

KB2416470

Download

.NET Framework 4

KB2416472

Download

.NET Framework 3.5 SP1

KB2416470, KB2416473

Download, Download*

.NET Framework 3.5

KB2416470, KB2418240

Download, Download*

.NET Framework 1.1 SP1

KB2416447

Download

*E’ necessario installare entrambi gli aggiornamenti, anche se non è rilevante l’ordine di installazione.

Windows Server 2008, Windows Vista SP1

 

.NET Framework Version

KB Article

Patch

.NET Framework 2.0 SP1 (default)

KB2416469

Download

.NET Framework 4

KB2416472

Download

.NET Framework 3.5 SP1

KB2416474, KB2416473

Download, Download*

.NET Framework 2.0 SP2

KB2416474

Download

.NET Framework 3.5

KB2416469, KB2418240

Download, Download*

.NET Framework 1.1 SP1

KB2416447

Download

*E’ necessario installare entrambi gli aggiornamenti, anche se non è rilevante l’ordine di installazione.

Windows Server 2003 SP2 32-bit

.NET Framework Version

KB Article

Patch

.NET Framework 1.1 SP1 (default)

KB2416451

Download

.NET Framework 4

KB2416472

Download

.NET Framework 3.5 SP1

KB2418241, KB2416473

Download, Download*

.NET Framework 2.0 SP2

KB2418241

Download

.NET Framework 3.5

KB2416468, KB2418240

Download, Download*

*E’ necessario installare entrambi gli aggiornamenti, anche se non è rilevante l’ordine di installazione.

Windows Server 2003 64-bit

.NET Framework Version/SP

KB Article

Patch

Default OS Configuration

NA

NA

.NET Framework 4

KB2416472

Download

.NET Framework 3.5 SP1

KB2418241, KB2416473

Download, Download*

.NET Framework 2.0 SP2

KB2418241

Download

.NET Framework 3.5

KB2416468, KB2418240

Download, Download*

.NET Framework 1.1 SP1

KB2416447

Download

*E’ necessario installare entrambi gli aggiornamenti, anche se non è rilevante l’ordine di installazione.

Windows XP SP3 32-bit and 64-bit

.NET Framework Version/SP

KB Article

Patch

Default OS Configuration

NA

NA

.NET Framework 4

KB2416472

Download

.NET Framework 3.5 SP1

KB2418241, KB2416473

Download, Download*

.NET Framework 2.0 SP2

KB2418241

Download

.NET Framework 3.5

KB2416468, KB2418240

Download, Download*

.NET Framework 1.1 SP1

KB2416447

Download

*E’ necessario installare entrambi gli aggiornamenti, anche se non è rilevante l’ordine di installazione.

Renato Segui i miei update su Twitter