Kloten Microsoft!!!!!

Mag ik als WSUS beheerder zelf beslissen of ik iets patch of niet? K? tnx

Jij werd toch zelf WSUS beheerder :) Kunt moeilijk MS de schuld geven van een fout die je zelf maakte :)

Grtz EzMe

Wat een domme reactie!

Bedankt Microsoft dat er een oplossing komt voor dit probleem.

Lees eens goed. Er staat aangeboden.
WSUS beheerder kan nog altijd zelf beslissen of die patch doorvoert

Of volg een cursus WSUS zodat je weet hoe het moet.

Peter, het is geen patch "voor een beveiligingslek in het .NET Framework" zoals de redactie stelt, maar voor in ASP.NET webapplicaties die op IIS (Internet Information Server) draaien.

Alleen als je IIS + met daarop een ASP.NET applicatie draait (zoals Sharepoint) moet je patchen (met name als die site vanaf internet toegangelijk is).

Aanvulling/correctie 2010-09-30 22:38: het bovenstaande is onjuist. Mijn excuses voor deze (te snelle) conclusie!

Het gaat namelijk wel om een vulnerability in alle .NET framework versies. Echter deze bug is ontdekt als een kwetsbaarheid in ASP.NET, een Microsoft framework voor web-applicaties dat bouwt op zo'n .NET framework. Onder meer Microsoft's eigen Sharepoint server is daardoor kwetsbaar (maar vermoedelijk ook enorm veel webshops).

In hoeverre deze kwetsbaarheid exploitable is in applicaties die van .NET gebruik maken, weet ik niet, maar vermoedelijk zijn alle .NET-based applicaties, die gebruik maken van de betrokken cryptografische functies, kwetsbaar.

Naast onderstaande bijdrage zal ik nog aanvullende info toevoegen aan een nieuwe thread die Peter V. hier gestart is: https://secure.security.nl/artikel/34613/1/.NET_patch_via_Windows_Upate.html.

Ik heb wat info over de kwetsbaarheden verzameld. Hoewel eerder al JSF (Java Server Faces) kwetsbaar bleek voor een vergelijkbare aanval maakt Microsoft het weer lekker bont aldus http://netifera.com/research/poet//PaddingOraclesEverywhereEkoparty2010.pdf:De kwetsbaarheid bestaat er uit dat er bekende "padding" (aanvullen tot een bepaalde buffergrootte) achter plain-text geplakt wordt voordat deze wordt versleuteld gecombineerd met het feit dat IIS/ASP.NET verschillende foutmeldingen teruggeeft afhankelijk van wat je probeert te raden. Daarmee is een brute-force attack mogelijk waarmee de encryptie kan worden gekraakt (zonder de sleutel te kennen).
Elders uit dat document:Uit http://www.microsoft.com/technet/security/bulletin/MS10-070.mspxTerug naar http://netifera.com/research/poet//PaddingOraclesEverywhereEkoparty2010.pdf:De POET versie die dat kan hebben ze nog niet gereleased, maar als er daadwerkelijk remote code exec mee mogelijk is dan onderdrijft Microsoft weer lekker in haar MS10-070 advisory (door slechts van "Important" te spreken).

Met "Cesar’s Token Kidnapping" doelen T. Duong en J. Rizzo overigens op dit document van Cesar Cerrudo http://www.argeniss.com/research/TokenKidnappingRevengePaper.pdf waarin hij een reeks privilege escalations (en fixes) beschrijft. Bizar trouwens dat ordinary users in in Vista, W7 en W2K R1+R2 schrijfrechten hebben op HKLM\Software\Microsoft\Tracing\tapisrv (*), op het XPSP3 systeem waarop ik dit tik is dat gelukkig nog niet zo (read only access voor Users).

(*) Zou dit veroorzaakt worden door de registry en filesystem virualisaties die Microsoft met Vista heeft ingevoerd? Zo ja, dan mag ik toch aannemen dat de Microsoft ontwikkelaars wel zo slim zijn geweest om dergelijke gevirtualiseerde data door meer privileged processen te laten negeren?!? Anders kun je net zo goed weer iedereen overal schrijfrechten geven...
Hmm, onder XP en W2K3 was Microsoft in elk geval nog niet slim bezig, want bij die systemen laat ze services die onder SYSTEM draaien ook keys en values onder HKEY_USERS\S-1-5-20_Classes ("Network" account) en HKEY_USERS\S-1-5-19_Classes (Local Service account) evalueren, waarmee privilege escalation attacks vanuit die accounts naar SYSTEM mogelijk zijn, aldus Cesar Cerrudo.