セキュリティ アドバイザリ (2416728):ASP.NET の脆弱性により、情報漏えいが起こる
危険度: 高
CVE識別番号: CVE-2010-3332
情報公開日: 9 21, 2010
概要
Microsoft の WebサーバソフトInternet Information Services (IIS)においてASP.NETとして利用される以下のソフトウェアが、復号化を実行中に詳細なエラーコードを提供してしまうため、暗号化したView Stateフォームデータの復号および改変、またパディングオラクル攻撃(別名:パディングオラクル脆弱性)を介して、cookies の偽装、アプリケーションファイルの読み込みなどが行われる可能性があります。
トレンドマイクロの対策
詳細は、以下のMicrosoftのページをご参照ください。
「脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のユーザは、以下のフィルタ番号およびパターンバージョンによりこれらの脆弱性から保護されます。
| CVE識別番号 | フィルタ番号およびフィルタ名 | Deep Security 初回パターンバージョン | Deep Security 初回パターンリリース日 |
|---|---|---|---|
| CVE-2010-3332 | 1004409 - Microsoft .NET Framework ASP.NET 'Padding Oracle' Information Disclosure Vulnerability | 10-030 | 2010年9月21日 |
対応方法
修正パッチ: http://technet.microsoft.com/ja-jp/security/bulletin/ms10-070
Trend Micro Deep Security DPI Rule Number: 1004409
Trend Micro Deep Security DPI Rule Name: Microsoft .NET Framework ASP.NET 'Padding Oracle' Information Disclosure Vulnerability
影響を受けるソフトウェア
- Windows XP Media Center Edition 2005 and Windows XP Tablet PC Edition 2005
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista Service Pack 1
- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 1
- Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems**
- Windows Server 2008 for 32-bit Systems Service Pack 2**
- Windows Server 2008 for x64-based Systems**
- Windows Server 2008 for x64-based Systems Service Pack 2**
- Windows Server 2008 for Itanium-based Systems
- Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems*
- Windows Server 2008 R2 for Itanium-based systems