Bulletins de Sécurité Microsoft29 Décembre 2011

Patrick Chuzel/ Philippe VialleCSS Security EMEA

Michel BerneuilTechnical Account Manager

Bienvenue !Présentation du bulletin OOB du 29 Décembre 2011RessourcesQuestions - Réponses : Envoyez dès maintenant !

* Malicious software (logiciel malveillant)

Bulletin N°Article LogicielAffecté

ComposantAffecté

Indice de gravité

Priorité de déploieme

nt

Max. Exploit Index Rating

Révélépublique

ment

MS11-100 2638420 Windows .NET Framework Critique 1 1 Oui

Bulletins de Sécurité de Décembre 2011

Index d’exploitabilité : 1 - Possibilité de code d’exploitation fonctionnel | 2 - Possibilité de code d’exploitation peu fonctionnel | 3 - Faible possibilité de code d’exploitation fonctionnel | * Non concerné

MS11-100 : Introduction et indices de gravitéNuméro Titre Indice de gravité

maximal Produits affectés

MS11-100

Quatre vulnérabilités dans l’environnement .NET de Windows pourraient permettre l’élévation de privilège, un déni de service et la redirection arbitraire d’URL (2638420)

Critique

• Windows XP (Toutes les versions supportées)• Windows Server 2003 (Toutes les versions

supportées)• Windows Vista (Toutes les versions

supportées)• Windows Server 2008 (Toutes les versions

supportées)• Windows 7 (Toutes les versions supportées• Windows Server 2008 R2 (Toutes les versions

supportées)

Microsoft .NET Framework 1.1 Service Pack 1Microsoft .NET Framework 2.0 Service Pack 2Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 3.5.1 sur Windows 7Microsoft .NET Framework 4Microsoft .NET Framework 1.0 SP3 sur Windows XP Media Center 2005 SP3 et Tablet PC 2005 SP3 seulement

MS11-100 | Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420)Vulnerability Details: • A Denial of Service vulnerability (CVE-2011-3414) exists in the way that ASP.NET Framework

processes values in an ASP.Net form post, causing a hash collision that could allow an attacker to cause a denial of service condition by sending a small number of specially crafted posts to an ASP.NET server

• A Spoofing vulnerability (CVE-2011-3415) exists in the way that .NET Framework verifies return URLs during the forms authentication process that could allow an attacker to redirect users to a website of the attacker's choosing without the user's knowledge

Vulnerabilities: Maximum Severity Security Impact XI Rating: Disclosed Exploited AdvisoryLatest Older DoS

CVE-2011-3414 Important Denial of Service 3 3 T Yes No 2659883

CVE-2011-3415 Moderate Spoofing + + + No No NoneAttack Vector(s) Mitigation(s) Workaround(s)

For CVE-2011-3414• A small number of specially crafted

ASP.NET form postsFor CVE-2011-3415• A malicious Web page

• By default, IIS is not enabled on any Windows SKU

For CVE-2011-3414• Sites that disallow application/x-www-form-

urlencoded or multipart/form-data HTTP content types are not vulnerable

For CVE-2011-3415• This vulnerability doesn't allow code execution,

but an attacker could gain information to further compromise a system

• By default, installing ASP.NET does not enable Forms Authentication

• By default, ASP.NET is not installed when the .NET Framework is installed

• Users must be convinced to click a link

For CVE-2011-3414• Limit the maximum request size that

ASP.NET will accept from a client by adding an entry to the root web.config or the applicationhost.config on all ASP.NET sites on a server

• Decrease the maximum request size by adding an entry to the appropriate ASP.NET configuration file to decrease the susceptibility of the ASP.NET server to a denial of service attack

For CVE-2011-3415• Disable Forms Authentication in

web.config

Exploitability Index: 1 - Consistent exploit code likely | 2 - Inconsistent exploit code likely | 3 - Functioning exploit code unlikely | * - Not Affected | + - Not Rated

DoS recovery rating: T = Temporary | P = Permanent

MS11-100 : ASP.Net | Critical

MS11-100 | Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420)Vulnerability Details: • An Elevation of Privilege vulnerability (CVE-2011-3416) exists in the way that .NET Framework

authenticates users that could allow an attacker to register an account on the ASP.NET application by sending a specially crafted web request using a valid account name, which would allow the attacker could then take any action on the site in the context of the targeted user

• An Elevation of Privilege vulnerability (CVE-2011-3417) exists in the way that ASP.NET Framework handles cached content when Forms Authentication is used with sliding expiry that could allow an attacker to take any action on the site in the context of the target user, if the user can be convinced click a maliciously crafted link

Vulnerabilities: Maximum Severity Security Impact XI Rating: Disclosed Exploited AdvisoryLatest Older DoS

CVE-2011-3416 Critical Elevation of Privilege 1 1 * No No None

CVE-2011-3417 Important Elevation of Privilege 2 2 * No No None

Attack Vector(s) Mitigation(s) Workaround(s)

For CVE-2011-3416• A specially crafted web request using

the valid account name For CVE-2011-3417• A maliciously crafted link Common delivery mechanisms:

A maliciously crafted Web page, an e-mail attachment, an instant message, a peer-to-peer file share, a network share, and/or a USB thumb drive

• By default, IIS is not enabled on any Windows SKU• By default, ASP.NET is not installed when the .NET

Framework is installed. Only customers who manually install and enable ASP.NET are likely to be vulnerable to this issue

For CVE-2011-3416• Attackers must be able to register an account on

the ASP.NET application, and have a valid username

• By default, installing ASP.NET does not enable Forms Authentication

For CVE-2011-3417• By default, ASP.NET responses are not cached by the

OutputCache• Exploitation of this vulnerability only gains the same

user rights as the target user

For CVE-2011-3416• Set ticketCompatibilityMode to

Framework40• Disable Forms Authentication in

web.config

For CVE-2011-3417• Restrict forms authentication cookies to SSL

channels• Disable sliding expiration for forms

authentication cookies• Disable OutputCache

Exploitability Index: 1 - Consistent exploit code likely | 2 - Inconsistent exploit code likely | 3 - Functioning exploit code unlikely | * - Not Affected | + - Not Rated

DoS recovery rating: T = Temporary | P = Permanent

MS11-100 : ASP.Net | Critical

Bulletin ID Windows Update Microsoft Update MBSA WSUS SMS ITMU SCCM 2007

MS11-100 Non (03/01/2012)

Oui Oui Non (03/01/2012)

Oui Non (03/01/2012)

Détection et déploiement

1. Microsoft ne fournit pas d’outils de detection et de déploiement pour les Macintosh2. Office Pinyin New Experience Style 2010 et Office Pinyin simpleFast Style 2010 est disponible uniquement sur le Centre de Téléchargement

Windows Update fournit seulement les mises à jour pour les composants Windows et ne supporte pas Office ou Exchange. Les utilisateurs auront besoin de s’orienter vers Microsoft Update afin de recevoir les mises à jour de sécurité pour Notre gamme complète de produits et services

Informations de mise à jourBulletin Redémarrage requis Désinstallation Remplace

MS11-100 Non (paramètre en ligne de commande /norestart) Oui MS11-078 MS10-070

RessourcesSynthèse des Bulletins de sécuritéhttp://technet.microsoft.com/fr-fr/security/bulletin/ms11-dec

Bulletins de sécuritéhttp://technet.microsoft.com/fr-fr/security/bulletin

Webcast des Bulletins de sécuritéhttp://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx

Avis de sécuritéhttp://technet.microsoft.com/fr-fr/security/advisory

Abonnez-vous à la synthèse des Bulletins de sécurité (en français)http://www.microsoft.com/france/securite/newsletters.mspx

Blog du MSRC (Microsoft Security Response Center)http://blogs.technet.com/msrc

Microsoft France sécurité http://www.microsoft.com/france/securite

TechNet sécuritéhttp://www.microsoft.com/france/technet/security

Microsoft Security Blogs and ASP.NET

Microsoft Security Response Center Blog: http://blogs.technet.com/b/msrc

Security Research & Defense Blog: http://blogs.technet.com/b/srd

ScottGu's Blog: http://weblogs.asp.net/scottgu

In addition to Security Bulletin MS11-100 and Security Advisory 2659883, we have also released a number of technical blogs to provide guidance

External Security Bulletin Links

Bulletins Links:• Security Bulletins Search

http://technet.microsoft.com/en-us/security/bulletin • Security Advisories

http://technet.microsoft.com/en-us/security/advisory • Microsoft Security Bulletin Summary for December 2011

http://technet.microsoft.com/en-us/security/bulletin/ms11-dec • Microsoft Technical Security Notifications

http://technet.microsoft.com/en-us/security/dd252948.aspx

Supplemental updated monthly reference articles:• Exploitability Index - Prioritize Deployment of Security Updates

http://technet.microsoft.com/en-us/security/cc998259.aspx• KB961747 Detection and deployment guidance for Microsoft Security Updates

http://support.microsoft.com/kb/961747 • KB894199 Description of Software Update Services and Windows Server Update Services changes

in content for 2011http://support.microsoft.com/kb/894199

• Updates from Past Months for Windows Server Update Serviceshttp://technet.microsoft.com/en-us/windowsserver/bb456965.aspx

• The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software from computers that are running Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008, or Windows XPhttp://support.microsoft.com/kb/890830

Blogs:• MSRC Blog

http://blogs.technet.com/msrc• SRD Team Blog

http://blogs.technet.com/srd • MMPC Team Blog

http://blogs.technet.com/mmpc• MSRC Ecosystem Strategy Team Blog

http://blogs.technet.com/ecostrat

Informations légales

L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET Technologies ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.

Merci