Lisähuomio tietoturvatiedotteesta MS11-100

Edellisessä tiedotetta MS11-100 käsittelevässä blogipostauksessa mainitsin päivityksen testaamisesta. Testauksen tärkeyttä ei voi liikaa korostaa – kaikkien vähäänkään kriittisempien webbipalvelimien osalta tämä päivitys on testattava huolella, koska sen asentaminen vaikuttaa mm. käyttäjätunnistuksen toimintaan, erityisesti käytettäessä lomakepohjaista tunnistusta (Forms Based Authentication). Lisäksi kannattaa huomioida myös tiedotteessa haavoittuvuuden CVE-2011-3416 kohdalla mainittu seikka palvelinfarmeista (web-palvelimista, joissa useita palvelimia on määritetty jonkin kuormanjakomenetelmän (esim. NLB) välityksellä palvelemaan samaa web-sivustoa):

If my website uses a web farm, will I need to update all the computers in the web farm?

Yes. This update changes the format of the forms authentication ticket in a way that is incompatible with the earlier format. This means that tickets generated by using the new behavior cannot be read by computers using the old behavior, and vice versa.Administrators whose applications use forms-based authentication must take specific steps when deploying this security update to ensure that all of their servers switch to the new behavior simultaneously.

For more information, see the Microsoft TechNet Article 2659968.

Is it possible to update the computers in my web farm one at a time instead of all at the same time?

Yes. If it is not feasible to deploy MS11-100 to all the servers in a given web farm simultaneously, you can set a compatibility switch in your web.config or machine.config file before installing the update to force the old behavior after the update is installed. The compatibility switch to use is as follows:

<appSettings>
<add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
</appSettings>

Setting this switch will allow web farms with only some machines updated to continue functioning correctly. However, it is important to know that computers with the configuration switch set will be in an insecure state, and will not benefit from the fix in this security update. After MS11-100 has been deployed to all the computers in a farm, the configuration switch must be removed to enable the new, secure behavior.

On siis huomattava, että joko farmin kaikissa palvelimissa on otettava päivitys käyttöön samanaikaisesti, tai sitten käytettävä tuota jälkimmäistä menetelmää. Lisätietoja löytyy KB-artikkelista 2659968 osoitteessa https://support.microsoft.com/kb/2659968 ja KB-artikkelista 2638420 osoitteessa https://support.microsoft.com/kb/2638420.