摘要:ASP.NET安全更新發佈
[原文發表位置]:ASP.NET Security Update Now Available
[原文發表時間]:2010/9/28 12:59 PM
今早微軟發佈了一個安全更新,來修復上個星期我在部落格裡提到的ASP.NET的安全漏洞。我們建議你盡快在你的Web伺服器上安裝它。
常見問題/解答
下面是大家問得一些常見問題的解答:
這個修補檔需要我修改什麼程式碼嗎?
不需要。這個修補檔不需要你更改現有的ASP.NET程序的任何程式碼或者設置。
裝了修補檔,還需要權宜方案嗎?
不需要。修補檔不再需要我們在上個星期公佈的安全權宜措施。那些臨時措施只是在修補檔發佈之前用來保護你的。裝上修補檔後就不再需要它們了。
在作業伺服器上安裝修補檔會有什麼影響嗎?
如果你在作業伺服器上安裝修補檔,伺服器可能有一段時間是脫機的(雖然不要求重啟作業系統)。你需要按情況計劃和協調升級過程。
重要—如果你的網站或程序是運行在Web農場的多個Web伺服器上,你需要確保在所有(而不是一部分)的機器上安裝修補檔。這是因為修補檔更改了ASP.NET一些功能的加密/簽名行為,安裝修補檔和沒有安裝修補檔的伺服器之間的加密/簽名行為不是相容的。如果你採用的是 Web Farm 拓撲結構,你可能要從佇列裡拿出一半的伺服器升級,接著再透過交換伺服器來避免不兼容的情況(這樣升級過的伺服器在佇列,而沒有升級過的伺服器從佇列中移出,並安裝修補檔)。
這個修補檔可以用在SharePoint上嗎?
是的。在打上修補檔的SharePoint上進行測試時,我們沒有發現任何問題。你需要在SharePoint伺服器上安裝它以避免遭受攻擊。
安裝後可以移除修補檔嗎?
是的。修補檔支援安裝和移除。請注意,一旦你移除了修補檔,那你的系統就不再受保護了。
下載修補檔
我們今天透過微軟下載中心來發佈安全更新。一旦我們做完分發測試後,幾天後我們也會透過Windows Update和Windows Server Update Service發佈它。一旦修補檔放在Windows Update上,你就可以在機器/伺服器上運行Windows Update,Windows Update會自動為你選擇正確的修補檔下載並安裝它。
更新:現在你可以透過Windows Update和Windows Server Update Service (WSUS)來安裝修補檔。在這裡你可以獲取更多的信息。
如果你是在微軟下載中心直接下載修補檔,那你需要手工選擇並下載相應的修補檔。下面的表格是今天微軟下載中心上所有可用的修補檔列表。修補檔根據Windows作業系統(還有相應的服務包和處理器架構)分類。每個作業系統欄裡,都包含了所有它支援的.NET版本列表,並包括了相應修補檔程序的知識庫(KB)和下載連結。
在下表裡找到你的作業系統,並確認你所安裝的.NET版本(確認已安裝的.NET版本的方式可以在這裡查看)。需要對伺服器上的每個.NET版本都下載和安裝修補檔。
|
Windows Server 2008 R2 and Windows 7 |
||
|
.NET Framework版本 |
知識庫(KB)文章 |
修補檔 |
|
.NET Framework 3.5.1 (預設安裝) |
||
|
.NET Framework 4 |
|
Windows Server 2008 SP2, Windows Vista SP2 |
||
|
.NET Framework版本 |
知識庫(KB)文章 |
修補檔 |
|
.NET Framework 2.0 SP2 (預設安裝) |
||
|
.NET Framework 4 |
||
|
.NET Framework 3.5 SP1 |
||
|
.NET Framework 3.5 |
||
|
.NET Framework 1.1 SP1 |
*針對一個.NET版本有多個修補檔下載的情況(例如.NET 3.5 SP1和.NET 3.5),需要安裝所有的修補檔(安裝順序沒有關係)。
|
Windows Server 2008, Windows Vista SP1 |
||
|
.NET Framework版本 |
知識庫(KB)文章 |
修補檔 |
|
.NET Framework 2.0 SP1 (預設安裝) |
||
|
.NET Framework 4 |
||
|
.NET Framework 3.5 SP1 |
||
|
.NET Framework 2.0 SP2 |
||
|
.NET Framework 3.5 |
||
|
.NET Framework 1.1 SP1 |
*針對一個.NET版本有多個修補檔下載的情況(例如.NET 3.5 SP1和.NET 3.5),需要安裝所有的修補檔(安裝順序沒有關係)。
|
Windows Server 2003 SP2 32-bit |
||
|
.NET Framework版本 |
知識庫(KB)文章 |
修補檔 |
|
.NET Framework 1.1 SP1 (預設安裝) |
||
|
.NET Framework 4 |
||
|
.NET Framework 3.5 SP1 |
||
|
.NET Framework 2.0 SP2 |
||
|
.NET Framework 3.5 |
*針對一個.NET版本有多個修補檔下載的情況(例如.NET 3.5 SP1和.NET 3.5),需要安裝所有的修補檔(安裝順序沒有關係)。
|
Windows Server 2003 64-bit |
||
|
.NET Framework版本 |
知識庫(KB)文章 |
修補檔 |
|
作業系統預設配置 |
NA |
NA |
|
.NET Framework 4 |
||
|
.NET Framework 3.5 SP1 |
||
|
.NET Framework 2.0 SP2 |
||
|
.NET Framework 3.5 |
||
|
.NET Framework 1.1 SP1 |
*針對一個.NET版本有多個修補檔下載的情況(例如.NET 3.5 SP1和.NET 3.5),需要安裝所有的修補檔(安裝順序沒有關係)。
|
Windows XP SP3 32-bit and 64-bit |
||
|
.NET Framework版本 |
知識庫(KB)文章 |
修補檔 |
|
作業系統預設配置 |
NA |
NA |
|
.NET Framework 4 |
||
|
.NET Framework 3.5 SP1 |
||
|
.NET Framework 2.0 SP2 |
||
|
.NET Framework 3.5 |
||
|
.NET Framework 1.1 SP1 |
*針對一個.NET版本有多個修補檔下載的情況(例如.NET 3.5 SP1和.NET 3.5),需要安裝所有的修補檔(安裝順序沒有關係)。
總結
我們建議你盡快在你的伺服器上安裝升級修補檔,來保護你的網站免受駭客攻擊。我們想感謝Juliano Rizzo和Thai Duong,他們在之前的ASP.NET研究過程中發現了這個漏洞,並且在我們的修補檔可用之前沒有公佈他們的攻擊程序。
你可以在這個指定的ASP.NET論壇上針對這個安全漏洞和更新提問。如果你有其它問題,也可以聯繫微軟客服來獲取幫助(包括電話客服)。這裡是微軟官方的安全公告。
謝謝
Scott
附:[除了寫部落格以外,我現在也使用推特(Twitter)來及時更新狀態和分享連結,您可以到這個地址「推」我一下:twitter.com/scottgu]