Bulletin de sécurité Microsoft MS15-041 - Important

Une vulnérabilité dans .NET Framework pourrait permettre la divulgation d'informations (3048010)

Date de publication : 14 avril 2015 | Date de mise à jour : 12 mai 2015

Version : 2.0

Synthèse

Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft .NET Framework. Cette vulnérabilité pourrait permettre la divulgation d'informations si un attaquant envoyait une requête web spécialement conçue à un serveur affecté sur lequel les messages d'erreur personnalisés sont désactivés. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait partiellement consulter un fichier de configuration web, exposant ainsi des informations sensibles.

Cette mise à jour de sécurité est de niveau « important » pour Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5, Microsoft .NET Framework 4.5.1 et Microsoft .NET Framework 4.5.2 sur les versions concernées de Microsoft Windows. Pour plus d'informations, consultez la section Logiciels concernés.

Cette mise à jour de sécurité résout la vulnérabilité en supprimant les détails de contenu des fichiers dans les messages d'erreur qui facilitaient la divulgation d'informations. Pour obtenir plus d'informations sur cette vulnérabilité, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité.

Pour plus d'informations sur cette mise à jour, voir l'article 3048010 de la Base de connaissances Microsoft.

Logiciels concernés

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leur cycle de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Système d'exploitation

Composant

Impact de sécurité maximal

Indice de gravité cumulée

Mises à jour remplacées

Windows Server 2003

Windows Server 2003 Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1
(3037572)

Divulgation d'informations

Important

2901115 dans le Bulletin MS14-009

Windows Server 2003 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3037577)

Divulgation d'informations

Important

2901111 dans le Bulletin MS14-009

Windows Server 2003 Service Pack 2

Microsoft .NET Framework 4[1] (3037578)

Divulgation d'informations

Important

2901110 dans le Bulletin MS14-009

Windows Server 2003 Édition x64 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3037577)

Divulgation d'informations

Important

2901111 dans le Bulletin MS14-009

Windows Server 2003 Édition x64 Service Pack 2

Microsoft .NET Framework 4[1] (3037578)

Divulgation d'informations

Important

2901110 dans le Bulletin MS14-009

Windows Server 2003 avec SP2 pour systèmes Itanium

Microsoft .NET Framework 2.0 Service Pack 2
(3037577)

Divulgation d'informations

Important

2901111 dans le Bulletin MS14-009

Windows Server 2003 avec SP2 pour systèmes Itanium

Microsoft .NET Framework 4[1] (3037578)

Divulgation d'informations

Important

2901110 dans le Bulletin MS14-009

Windows Vista

Windows Vista Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3037573)

Divulgation d'informations

Important

2901113 dans le Bulletin MS14-009

Windows Vista Service Pack 2

Microsoft .NET Framework 4[1] (3037578)

Divulgation d'informations

Important

2901110 dans le Bulletin MS14-009

Windows Vista Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

Divulgation d'informations

Important

2901126 dans le Bulletin MS14-009

Windows Vista Édition x64 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3037573)

Divulgation d'informations

Important

2901113 dans le Bulletin MS14-009

Windows Vista Édition x64 Service Pack 2

Microsoft .NET Framework 4[1] (3037578)

Divulgation d'informations

Important

2901110 dans le Bulletin MS14-009

Windows Vista Édition x64 Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

Divulgation d'informations

Important

2901126 dans le Bulletin MS14-009

Windows Server 2008

Windows Server 2008 pour systèmes 32 bits Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3037573)

Divulgation d'informations

Important

2901113 dans le Bulletin MS14-009

Windows Server 2008 pour systèmes 32 bits Service Pack 2

Microsoft .NET Framework 4[1] (3037578)

Divulgation d'informations

Important

2901110 dans le Bulletin MS14-009

Windows Server 2008 pour systèmes 32 bits Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

Divulgation d'informations

Important

2901126 dans le Bulletin MS14-009

Windows Server 2008 pour systèmes x64 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3037573)

Divulgation d'informations

Important

2901113 dans le Bulletin MS14-009

Windows Server 2008 pour systèmes x64 Service Pack 2

Microsoft .NET Framework 4[1] (3037578)

Divulgation d'informations

Important

2901110 dans le Bulletin MS14-009

Windows Server 2008 pour systèmes x64 Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

Divulgation d'informations

Important

2901126 dans le Bulletin MS14-009

Windows Server 2008 pour systèmes Itanium Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3037573)

Divulgation d'informations

Important

2901113 dans le Bulletin MS14-009

Windows Server 2008 pour systèmes Itanium Service Pack 2

Microsoft .NET Framework 4[1] (3037578)

Divulgation d'informations

Important

2901110 dans le Bulletin MS14-009

Windows 7

Windows 7 pour systèmes 32 bits Service Pack 1

Microsoft .NET Framework 3.5.1
(3037574)

Divulgation d'informations

Important

2901112 dans le Bulletin MS14-009

Windows 7 pour systèmes 32 bits Service Pack 1

Microsoft .NET Framework 4[1] (3037578)

Divulgation d'informations

Important

2901110 dans le Bulletin MS14-009

Windows 7 pour systèmes 32 bits Service Pack 1

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

Divulgation d'informations

Important

2901126 dans le Bulletin MS14-009

Windows 7 pour systèmes x64 Service Pack 1

Microsoft .NET Framework 3.5.1
(3037574)

Divulgation d'informations

Important

2901112 dans le Bulletin MS14-009

Windows 7 pour systèmes x64 Service Pack 1

Microsoft .NET Framework 4[1] (3037578)

Divulgation d'informations

Important

2901110 dans le Bulletin MS14-009

Windows 7 pour systèmes x64 Service Pack 1

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

Divulgation d'informations

Important

2901126 dans le Bulletin MS14-009

Windows Server 2008 R2

Windows Server 2008 R2 pour systèmes x64 Service Pack 1

Microsoft .NET Framework 3.5.1
(3037574)

Divulgation d'informations

Important

2901112 dans le Bulletin MS14-009

Windows Server 2008 R2 pour systèmes x64 Service Pack 1

Microsoft .NET Framework 4[1] (3037578)

Divulgation d'informations

Important

2901110 dans le Bulletin MS14-009

Windows Server 2008 R2 pour systèmes x64 Service Pack 1

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

Divulgation d'informations

Important

2901126 dans le Bulletin MS14-009

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1

Microsoft .NET Framework 3.5.1
(3037574)

Divulgation d'informations

Important

2901112 dans le Bulletin MS14-009

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1

Microsoft .NET Framework 4[1] (3037578)

Divulgation d'informations

Important

2901110 dans le Bulletin MS14-009

Windows 8 et Windows 8.1

Windows 8 pour systèmes 32 bits

Microsoft .NET Framework 3.5
(3037575)

Divulgation d'informations

Important

2901120 dans le Bulletin MS14-009

Windows 8 pour systèmes 32 bits

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037580)

Divulgation d'informations

Important

2901119 et 2901127 dans le bulletin MS14-009

Windows 8 pour systèmes x64

Microsoft .NET Framework 3.5
(3037575)

Divulgation d'informations

Important

2901120 dans le Bulletin MS14-009

Windows 8 pour systèmes x64

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037580)

Divulgation d'informations

Important

2901119 et 2901127 dans le bulletin MS14-009

Windows 8.1 pour systèmes 32 bits

Microsoft .NET Framework 3.5
(3037576)

Divulgation d'informations

Important

2901125 dans le Bulletin MS14-009

Windows 8.1 pour systèmes 32 bits

Microsoft .NET Framework 4.5.1/4.5.2
(3037579)

Divulgation d'informations

Important

2901128 dans le Bulletin MS14-009

Windows 8.1 pour systèmes x64

Microsoft .NET Framework 3.5
(3037576)

Divulgation d'informations

Important

2901125 dans le Bulletin MS14-009

Windows 8.1 pour systèmes x64

Microsoft .NET Framework 4.5.1/4.5.2
(3037579)

Divulgation d'informations

Important

2901128 dans le Bulletin MS14-009

Windows Server 2012 et Windows Server 2012 R2

Windows Server 2012

Microsoft .NET Framework 3.5
(3037575)

Divulgation d'informations

Important

2901120 dans le Bulletin MS14-009

Windows Server 2012

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037580)

Divulgation d'informations

Important

2901119 et 2901127 dans le bulletin MS14-009

Windows Server 2012 R2

Microsoft .NET Framework 3.5
(3037576)

Divulgation d'informations

Important

2901125 dans le Bulletin MS14-009

Windows Server 2012 R2

Microsoft .NET Framework 4.5.1/4.5.2
(3037579)

Divulgation d'informations

Important

2901128 dans le Bulletin MS14-009

Windows RT et Windows RT 8.1

Windows RT

Microsoft .NET Framework 4.5/4.5.1/4.5.2[2] (3037580)

Divulgation d'informations

Important

2901119 et 2901127 dans le bulletin MS14-009

Windows RT 8.1

Microsoft .NET Framework 4.5.1/4.5.2[2] (3037579)

Divulgation d'informations

Important

2901128 dans le Bulletin MS14-009

Option d'installation Server Core

Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)

Microsoft .NET Framework 3.5.1
(3037574)

Divulgation d'informations

Important

2901112 dans le Bulletin MS14-009

Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)

Microsoft .NET Framework 4[1] (3037578)

Divulgation d'informations

Important

2901110 dans le Bulletin MS14-009

Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

Divulgation d'informations

Important

2901126 dans le Bulletin MS14-009

Windows Server 2012 (installation Server Core)

Microsoft .NET Framework 3.5
(3037575)

Divulgation d'informations

Important

2901120 dans le Bulletin MS14-009

Windows Server 2012 (installation Server Core)

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037580)

Divulgation d'informations

Important

2901119 et 2901127 dans le bulletin MS14-009

Windows Server 2012 R2 (installation Server Core)

Microsoft .NET Framework 3.5
(3037576)

Divulgation d'informations

Important

2901125 dans le Bulletin MS14-009

Windows Server 2012 R2 (installation Server Core)

Microsoft .NET Framework 4.5.1/4.5.2
(3037579)

Divulgation d'informations

Important

2901128 dans le Bulletin MS14-009

[1].NET Framework 4 et .NET Framework 4 Client Profile sont affectés.

[2]Cette mise à jour est disponible via Windows Update uniquement.

Forum aux questions concernant les mises à jour

Comment puis-je savoir quelle version de Microsoft .NET Framework est installée ?
Vous pouvez installer et exécuter plusieurs versions de .NET Framework sur un système et installer ces versions dans n'importe quel ordre. Pour plus d'informations, voir l'article 318785 de la Base de connaissances Microsoft.

Quelle est la différence entre .NET Framework 4 et .NET Framework 4 Client Profile ?
Les packages redistribuables .NET Framework version 4 sont disponibles en deux profils : .NET Framework 4 et .NET Framework 4 Client Profile. .NET Framework 4 Client Profile est un sous-ensemble du profil .NET Framework 4 optimisé pour les applications clientes. Il fournit des fonctionnalités pour la plupart des applications clientes, notamment Windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF) et les fonctionnalités ClickOnce. Les applications qui ciblent .NET Framework 4 Client Profile bénéficient d'un déploiement plus rapide et de packages d'installation de plus petite taille. Pour plus d'informations, consultez l'article MSDN intitulé .NET Framework Client Profile.

Plusieurs packages de mise à jour sont disponibles pour certains des logiciels concernés. Dois-je installer toutes les mises à jour répertoriées dans le tableau « Logiciels concernés » pour le logiciel ?
Oui. Les clients doivent appliquer toutes les mises à jour proposées pour les logiciels installés sur leur système.

Dois-je installer ces mises à jour de sécurité dans un ordre particulier ?
Non. Lorsqu'il existe plusieurs mises à jour pour un système donné, elles peuvent être appliquées dans n'importe quel ordre.

Indices de gravité et identificateurs de vulnérabilité

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité d'avril.

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné

Logiciels concernés

Vulnérabilité de divulgation d'informations ASP.NET - CVE-2015-1648

Indice de gravité cumulée

Microsoft .NET Framework 1.1 Service Pack 1

Microsoft .NET Framework 1.1 Service Pack 1 sous Microsoft Windows Server 2003 Service Pack 2
(3037572)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2 sous Microsoft Windows Server 2003 Service Pack 2
(3037577)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 2.0 Service Pack 2 sous Microsoft Windows Server 2003 Édition x64 Service Pack 2
(3037577)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 2.0 Service Pack 2 sous Microsoft Windows Server 2003 pour systèmes Itanium Service Pack 2
(3037577)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 2.0 Service Pack 2 sous Windows Vista Service Pack 2
(3037573)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 2.0 Service Pack 2 sous Windows Vista Édition x64 Service Pack 2
(3037573)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 2.0 Service Pack 2 sous Windows Server 2008 pour systèmes 32 bits Service Pack 2
(3037573)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 2.0 Service Pack 2 sous Windows Server 2008 pour systèmes x64 Service Pack 2
(3037573)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 2.0 Service Pack 2 sous Windows Server 2008 pour systèmes Itanium Service Pack 2
(3037573)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 3.5

Microsoft .NET Framework 3.5 sous Windows 8 pour systèmes 32 bits
(3037575)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 3.5 sous Windows 8 pour systèmes x64
(3037575)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 3.5 sous Windows Server 2012
(3037575)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 3.5 sous Windows Server 2012 (installation Server Core)
(3037575)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 3.5 sous Windows 8.1 pour systèmes 32 bits
(3037576)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 3.5 sous Windows 8.1 pour systèmes x64
(3037576)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 3.5 sous Windows Server 2012 R2
(3037576)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 3.5 sous Windows Server 2012 R2 (installation Server Core)
(3037576)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 3.5.1

Microsoft .NET Framework 3.5.1 sous Windows 7 pour systèmes 32 bits Service Pack 1
(3037574)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 3.5.1 sous Windows 7 pour systèmes x64 Service Pack 1
(3037574)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 3.5.1 sous Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(3037574)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 3.5.1 sous Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(3037574)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 3.5.1 sous Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(3037574)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4

Microsoft .NET Framework 4 sous Windows Server 2003 Service Pack 2
(3037578)[1]

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4 sous Windows Server 2003 Édition x64 Service Pack 2
(3037578)[1]

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4 sous Windows Server 2003 avec SP2 pour systèmes Itanium
(3037578)[1]

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4 sous Windows Vista Service Pack 2
(3037578)[1]

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4 sous Windows Vista Édition x64 Service Pack 2
(3037578)[1]

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4 sous Windows Server 2008 pour systèmes 32 bits Service Pack 2
(3037578)[1]

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4 sous Windows Server 2008 pour systèmes x64 Service Pack 2
(3037578)[1]

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4 sous Windows Server 2008 pour systèmes Itanium Service Pack 2
(3037578)[1]

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4 sous Windows 7 pour systèmes 32 bits Service Pack 1
(3037578)[1]

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4 sous Windows 7 pour systèmes x64 Service Pack 1
(3037578)[1]

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4 sous Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(3037578)[1]

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4 sous Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(3037578)[1]

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4 sous Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(3037578)[1]

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5/4.5.1/4.5.2

Microsoft .NET Framework 4.5/4.5.1/4.5.2 sous Windows Vista Service Pack 2
(3037581)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5/4.5.1/4.5.2 sous Windows Vista Édition x64 Service Pack 2
(3037581)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5/4.5.1/4.5.2 sous Windows Server 2008 pour systèmes 32 bits Service Pack 2
(3037581)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4/4.5.1/4.5.2 sous Windows Server 2008 pour systèmes x64 Service Pack 2
(3037581)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5/4.5.1/4.5.2 sous Windows 7 pour systèmes 32 bits Service Pack 1
(3037581)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5/4.5.1/4.5.2 sous Windows 7 pour systèmes x64 Service Pack 1
(3037581)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5/4.5.1/4.5.2 sous Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(3037581)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5/4.5.1/4.5.2 sous Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(3037581)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5/4.5.1/4.5.2 sous Windows 8 pour systèmes 32 bits
(3037580)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5.1/4.5.2 sous Windows 8.1 pour systèmes 32 bits
(3037579)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5/4.5.1/4.5.2 sous Windows 8 pour systèmes x64
(3037580)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5.1/4.5.2 sous Windows 8.1 pour systèmes x64
(3037579)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5/4.5.1/4.5.2 sous Windows Server 2012
(3037580)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5/4.5.1/4.5.2 sous Windows Server 2012 (installation Server Core)
(3037580)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5.1/4.5.2 sous Windows Server 2012 R2
(3037579)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5.1/4.5.2 sous Windows Server 2012 R2 (installation Server Core)
(3037579)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5/4.5.1/4.5.2 sous Windows RT
(3037580)

Important
Divulgation d'informations

Important

Microsoft .NET Framework 4.5.1/4.5.2 sous Windows RT 8.1
(3037579)

Important
Divulgation d'informations

Important

[1].NET Framework 4 et .NET Framework 4 Client Profile sont affectés.

Informations par vulnérabilité

Vulnérabilité de divulgation d'informations ASP.NET - CVE-2015-1648

Il existe une vulnérabilité de divulgation d'informations dans ASP.NET qui survient lorsque ASP.NET traite de façon incorrecte certaines requêtes sur les systèmes sur lesquels les messages d'erreur personnalisés sont désactivés. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait partiellement consulter un fichier de configuration web, exposant ainsi des informations sensibles.

Pour exploiter cette vulnérabilité, un attaquant pourrait envoyer une requête web spécialement conçue à un serveur affecté dans l'intention de générer un message d'erreur susceptible de divulguer des informations concernant la ligne source à l'origine de l'exception. Cette opération pourrait alors révéler des informations qui ne sont pas censées être accessibles. Cette mise à jour de sécurité résout la vulnérabilité en supprimant les détails de contenu des fichiers dans les messages d'erreur qui facilitaient la divulgation d'informations.

Par défaut, les applications ASP.NET ne sont pas exposées à cette vulnérabilité, car elles sont configurées de manière à ne pas afficher de messages d'erreur détaillés à des utilisateurs distants. Il arrive parfois que des développeurs activent les messages d'erreur détaillés afin de recueillir des informations, puis oublient de les désactiver, ce qui expose l'application à cette vulnérabilité.

                    <customErrors mode="remoteOnly" />
                    <customErrors mode="On" defaultRedirect="ErrorPage.htm" /> 
                    <customErrors mode="off" />

Notez que les messages d'erreur sont personnalisables en fonction du code d'erreur. Pour plus d'informations, consultez l'article customErrors, élément (Schéma des paramètres ASP.NET).

Pour ajouter une protection supplémentaire contre la désactivation accidentelle des erreurs personnalisées, l'administrateur peut activer le mode commercial. Pour plus d'informations, consultez la solution de contournement présentée dans ce Bulletin.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

  • Seuls les serveurs IIS qui émettent des messages d'erreur détaillés sont affectés ; il est peu probable que des serveurs de production soient concernés.

Solutions de contournement

Les solutions de contournement suivantes peuvent être utiles, selon votre situation :

  • Configurer .NET en mode commercial sur tous les serveurs web

    Dans les fichiers machine.config de tous les serveurs web, ajoutez le paramètre « <deployment retail="true" /> » dans la section « system.web » de la section « configuration ».

    Sur les systèmes 32 bits, le fichier machine.config se trouve sous %windir%\Microsoft.NET\Framework\[version]\config\machine.config.

    Sur les systèmes 64 bits, le fichier machine.config se trouve sous %windir%\Microsoft.NET\Framework64\[version]\config\machine.config.

    Pour plus d'informations sur ce paramètre, consultez l'article « deployment, élément (Schéma des paramètres ASP.NET) ».

    Impact de cette solution de contournement. Tous les messages d'erreur détaillés ASP.NET provenant de tous les sites web sur chaque serveur seront supprimés.

    Procédure d'annulation de cette solution de contournement.

    Pour annuler la solution de contournement, supprimez le paramètre qui a été ajouté à l'aide de cette procédure.

  • Activer les erreurs personnalisées pour tous les sites web

    Dans les fichiers web.config pour tous les sites web, assurez-vous que le paramètre « customErrors » (dans la section « system.web » de la section « configuration ») n'est pas défini sur « off ». Les valeurs possibles sont les suivantes : « on », « remoteonly » ou aucun paramètre.

    Pour plus d'informations sur le paramètre customErrors, consultez l'article « customErrors, élément (Schéma des paramètres ASP.NET) ».

    Impact de cette solution de contournement. Tous les messages d'erreur détaillés ASP.NET provenant de tous les sites web seront supprimés.

    Procédure d'annulation de cette solution de contournement.

    Pour annuler la solution de contournement, rétablissez les paramètres qui ont été établis à l'aide de cette procédure.

Déploiement des mises à jour de sécurité

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Remerciements

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (14 avril 2015) : Bulletin publié.
  • V2.0 (12 mai 2015) : Bulletin réédité pour corriger les problèmes liés à la mise à jour 3037580 pour Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur les éditions concernées de Microsoft Windows. Les clients qui utilisent ces versions de .NET Framework sont invités à installer la nouvelle version de la mise à jour 3037580 afin d'être protégés de la vulnérabilité décrite dans ce bulletin. Pour plus d'informations, consultez l'article 3037580 de la Base de connaissances Microsoft.

Page générée le 06/05/2015 13:24Z-07:00.