MSRC ppDocument 模板

Microsoft 安全公告 MS15-041 - 重要

.NET Framework 中的漏洞可能允许信息泄漏 (3048010)

发布日期: 2015 年 4 月 14 日 | 更新时间: 2015 年 5 月 12 日

版本: 2.0

执行摘要

此安全更新可解决 Microsoft .NET Framework 中的一个漏洞。 如果攻击者向已禁用自定义错误信息的受影响服务器发送经过特殊设计的 Web 请求,则此漏洞可能允许信息泄漏。 成功利用此漏洞的攻击者可以查看部分 web 配置文件,这可能会暴露敏感信息。

对于 Microsoft Windows 受影响版本上的 Microsoft .NET Framework 1.1 Service Pack 1、Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5.1、Microsoft .NET Framework 4、Microsoft .NET Framework 4.5、Microsoft .NET Framework 4.5.1 和 Microsoft .NET Framework 4.5.2,此安全更新的等级为“重要”。 有关详细信息,请参阅“受影响的软件”部分。

通过从利用信息泄漏的错误消息中删除文件内容详细信息,此安全更新可以解决该漏洞。 有关漏洞的详细信息,请参阅特定漏洞的“常见问题 (FAQ)”小节。

有关此更新的详细信息,请参阅 Microsoft 知识库文章 3048010

受影响的软件

以下软件版本都受到影响。 未列出的版本的支持生命周期已结束或者不受影响。 要确定软件版本的技术支持生命周期,请参阅 Microsoft 技术支持生命周期

操作系统

组件

最大安全影响

综合严重等级

替代的更新

Windows Server 2003

Windows Server 2003 Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1
(3037572)

信息泄漏

重要

MS14-009 中的 2901115

Windows Server 2003 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3037577)

信息泄漏

重要

MS14-009 中的 2901111

Windows Server 2003 Service Pack 2

Microsoft .NET Framework 4[1]
(3037578)

信息泄漏

重要

MS14-009 中的 2901110

Windows Server 2003 x64 Edition Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3037577)

信息泄漏

重要

MS14-009 中的 2901111

Windows Server 2003 x64 Edition Service Pack 2

Microsoft .NET Framework 4[1]
(3037578)

信息泄漏

重要

MS14-009 中的 2901110

Windows Server 2003 SP2(用于基于 Itanium 的系统)

Microsoft .NET Framework 2.0 Service Pack 2
(3037577)

信息泄漏

重要

MS14-009 中的 2901111

Windows Server 2003 SP2(用于基于 Itanium 的系统)

Microsoft .NET Framework 4[1]
(3037578)

信息泄漏

重要

MS14-009 中的 2901110

Windows Vista

Windows Vista Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3037573)

信息泄漏

重要

MS14-009 中的 2901113

Windows Vista Service Pack 2

Microsoft .NET Framework 4[1]
(3037578)

信息泄漏

重要

MS14-009 中的 2901110

Windows Vista Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

信息泄漏

重要

MS14-009 中的 2901126

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3037573)

信息泄漏

重要

MS14-009 中的 2901113

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 4[1]
(3037578)

信息泄漏

重要

MS14-009 中的 2901110

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

信息泄漏

重要

MS14-009 中的 2901126

Windows Server 2008

Windows Server 2008(用于 32 位系统)Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3037573)

信息泄漏

重要

MS14-009 中的 2901113

Windows Server 2008(用于 32 位系统)Service Pack 2

Microsoft .NET Framework 4[1]
(3037578)

信息泄漏

重要

MS14-009 中的 2901110

Windows Server 2008(用于 32 位系统)Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

信息泄漏

重要

MS14-009 中的 2901126

Windows Server 2008(用于基于 x64 的系统)Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3037573)

信息泄漏

重要

MS14-009 中的 2901113

Windows Server 2008(用于基于 x64 的系统)Service Pack 2

Microsoft .NET Framework 4[1]
(3037578)

信息泄漏

重要

MS14-009 中的 2901110

Windows Server 2008(用于基于 x64 的系统)Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

信息泄漏

重要

MS14-009 中的 2901126

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3037573)

信息泄漏

重要

MS14-009 中的 2901113

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2

Microsoft .NET Framework 4[1]
(3037578)

信息泄漏

重要

MS14-009 中的 2901110

Windows 7

Windows 7(用于 32 位系统)Service Pack 1

Microsoft .NET Framework 3.5.1
(3037574)

信息泄漏

重要

MS14-009 中的 2901112

Windows 7(用于 32 位系统)Service Pack 1

Microsoft .NET Framework 4[1]
(3037578)

信息泄漏

重要

MS14-009 中的 2901110

Windows 7(用于 32 位系统)Service Pack 1

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

信息泄漏

重要

MS14-009 中的 2901126

Windows 7(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 3.5.1
(3037574)

信息泄漏

重要

MS14-009 中的 2901112

Windows 7(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 4[1]
(3037578)

信息泄漏

重要

MS14-009 中的 2901110

Windows 7(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

信息泄漏

重要

MS14-009 中的 2901126

Windows Server 2008 R2

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 3.5.1
(3037574)

信息泄漏

重要

MS14-009 中的 2901112

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 4[1]
(3037578)

信息泄漏

重要

MS14-009 中的 2901110

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

信息泄漏

重要

MS14-009 中的 2901126

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1

Microsoft .NET Framework 3.5.1
(3037574)

信息泄漏

重要

MS14-009 中的 2901112

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1

Microsoft .NET Framework 4[1]
(3037578)

信息泄漏

重要

MS14-009 中的 2901110

Windows 8 和 Windows 8.1

Windows 8(用于 32 位系统)

Microsoft .NET Framework 3.5
(3037575)

信息泄漏

重要

MS14-009 中的 2901120

Windows 8(用于 32 位系统)

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037580)

信息泄漏

重要

MS14-009 中的 2901119 和 2901127

Windows 8(用于基于 x64 的系统)

Microsoft .NET Framework 3.5
(3037575)

信息泄漏

重要

MS14-009 中的 2901120

Windows 8(用于基于 x64 的系统)

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037580)

信息泄漏

重要

MS14-009 中的 2901119 和 2901127

Windows 8.1(用于 32 位系统)

Microsoft .NET Framework 3.5
(3037576)

信息泄漏

重要

MS14-009 中的 2901125

Windows 8.1(用于 32 位系统)

Microsoft .NET Framework 4.5.1/4.5.2
(3037579)

信息泄漏

重要

MS14-009 中的 2901128

Windows 8.1(用于基于 x64 的系统)

Microsoft .NET Framework 3.5
(3037576)

信息泄漏

重要

MS14-009 中的 2901125

Windows 8.1(用于基于 x64 的系统)

Microsoft .NET Framework 4.5.1/4.5.2
(3037579)

信息泄漏

重要

MS14-009 中的 2901128

Windows Server 2012 和 Windows Server 2012 R2

Windows Server 2012

Microsoft .NET Framework 3.5
(3037575)

信息泄漏

重要

MS14-009 中的 2901120

Windows Server 2012

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037580)

信息泄漏

重要

MS14-009 中的 2901119 和 2901127

Windows Server 2012 R2

Microsoft .NET Framework 3.5
(3037576)

信息泄漏

重要

MS14-009 中的 2901125

Windows Server 2012 R2

Microsoft .NET Framework 4.5.1/4.5.2
(3037579)

信息泄漏

重要

MS14-009 中的 2901128

Windows RT 和 Windows RT 8.1

Windows RT

Microsoft .NET Framework 4.5/4.5.1/4.5.2[2]
(3037580)

信息泄漏

重要

MS14-009 中的 2901119 和 2901127

Windows RT 8.1

Microsoft .NET Framework 4.5.1/4.5.2[2]
(3037579)

信息泄漏

重要

MS14-009 中的 2901128

服务器核心安装选项

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)

Microsoft .NET Framework 3.5.1
(3037574)

信息泄漏

重要

MS14-009 中的 2901112

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)

Microsoft .NET Framework 4[1]
(3037578)

信息泄漏

重要

MS14-009 中的 2901110

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

信息泄漏

重要

MS14-009 中的 2901126

Windows Server 2012(服务器核心安装)

Microsoft .NET Framework 3.5
(3037575)

信息泄漏

重要

MS14-009 中的 2901120

Windows Server 2012(服务器核心安装)

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037580)

信息泄漏

重要

MS14-009 中的 2901119 和 2901127

Windows Server 2012 R2(服务器核心安装)

Microsoft .NET Framework 3.5
(3037576)

信息泄漏

重要

MS14-009 中的 2901125

Windows Server 2012 R2(服务器核心安装)

Microsoft .NET Framework 4.5.1/4.5.2
(3037579)

信息泄漏

重要

MS14-009 中的 2901128

[1].NET Framework 4 和 .NET Framework 4 客户端配置文件受到影响。

[2]此更新仅通过 Windows 更新提供。

更新常见问题

我如何确定安装了哪个版本的 Microsoft .NET Framework?
您可以在一个系统上安装和运行多个版本的 .NET Framework,也可以按任何顺序安装各个版本。 有关详细信息,请参阅 Microsoft Knowledge 知识库文章 318785

.NET Framework 4 和 .NET Framework 4 客户端配置文件有什么区别?
两种配置文件中提供 .NET Framework 版本 4 可再次分发程序包: .NET Framework 4 和 .NET Framework 4 客户端配置文件。 .NET Framework 4 客户端配置文件是针对客户端应用程序进行优化的 .NET Framework 4 配置文件的子集。 它提供适用于大多数客户端应用程序的功能,包括 Windows Presentation Foundation (WPF)、Windows Forms、Windows Communication Foundation (WCF) 和 ClickOnce 功能。 这可加快针对 .NET Framework 4 客户端配置文件的应用程序的部署速度并减小安装程序包。 有关详细信息,请参阅 MSDN 文章“.NET Framework 客户端配置文件”。

有多个更新程序包适用于一些受影响的软件。 我需要安装“受影响的软件”表中针对该软件列出的所有更新吗?
是的。 客户应该应用为他们的系统上安装的软件提供的所有更新。

我需要按特定顺序安装这些安全更新吗?
不需要。给定系统的多个更新可以按任意顺序应用。

严重等级和漏洞标识符

以下严重等级假设漏洞的可能的最大影响。 有关此安全公告发布 30 天内,漏洞利用的安全等级和安全影响的可能性的信息,请参阅 4 月份公告摘要中的利用指数。

按受影响软件列出的漏洞严重等级和最大安全影响

受影响的软件

ASP.NET 信息泄漏漏洞 - CVE-2015-1648

综合严重等级

Microsoft .NET Framework 1.1 Service Pack 1

Microsoft Windows Server 2003 Service Pack 2 上的 Microsoft .NET Framework 1.1 Service Pack 1
(3037572)

重要
信息泄漏

重要

Microsoft .NET Framework 2.0 Service Pack 2

安装在 Microsoft Windows Server 2003 Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3037577)

重要
信息泄漏

重要

安装在 Microsoft Windows Server 2003 x64 Edition Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3037577)

重要
信息泄漏

重要

安装在 Microsoft Windows Server 2003(用于基于 Itanium 的系统)Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3037577)

重要
信息泄漏

重要

Windows Vista Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3037573)

重要
信息泄漏

重要

Windows Vista x64 Edition Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3037573)

重要
信息泄漏

重要

Windows Server 2008(用于 32 位系统)Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3037573)

重要
信息泄漏

重要

Windows Server 2008(用于基于 x64 的系统)Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3037573)

重要
信息泄漏

重要

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3037573)

重要
信息泄漏

重要

Microsoft .NET Framework 3.5

Windows 8(用于 32 位系统)上的 Microsoft .NET Framework 3.5
(3037575)

重要
信息泄漏

重要

Windows 8(用于基于 x64 的系统)上的 Microsoft .NET Framework 3.5
(3037575)

重要
信息泄漏

重要

Windows Server 2012 上的 Microsoft .NET Framework 3.5
(3037575)

重要
信息泄漏

重要

Windows Server 2012 上的 Microsoft .NET Framework 3.5(服务器核心安装)
(3037575)

重要
信息泄漏

重要

Windows 8.1(用于 32 位系统)上的 Microsoft .NET Framework 3.5
(3037576)

重要
信息泄漏

重要

Windows 8.1(用于基于 x64 的系统)上的 Microsoft .NET Framework 3.5
(3037576)

重要
信息泄漏

重要

Windows Server 2012 R2 上的 Microsoft .NET Framework 3.5
(3037576)

重要
信息泄漏

重要

Windows Server 2012 R2 上的 Microsoft .NET Framework 3.5(服务器核心安装)
(3037576)

重要
信息泄漏

重要

Microsoft .NET Framework 3.5.1

Windows 7(用于 32 位系统)Service Pack 1 上的 Microsoft .NET Framework 3.5.1
(3037574)

重要
信息泄漏

重要

Windows 7(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 3.5.1
(3037574)

重要
信息泄漏

重要

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 3.5.1
(3037574)

重要
信息泄漏

重要

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 3.5.1(服务器核心安装)
(3037574)

重要
信息泄漏

重要

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1 上的 Microsoft .NET Framework 3.5.1
(3037574)

重要
信息泄漏

重要

Microsoft .NET Framework 4

安装在 Windows Server 2003 Service Pack 2 上的 Microsoft .NET Framework 4
(3037578)[1]

重要
信息泄漏

重要

安装在 Windows Server 2003 x64 Edition Service Pack 2 上的 Microsoft .NET Framework 4
(3037578)[1]

重要
信息泄漏

重要

安装在 Windows Server 2003 SP2(用于基于 Itanium 的系统)上的 Microsoft .NET Framework 4
(3037578)[1]

重要
信息泄漏

重要

Windows Vista Service Pack 2 上的 Microsoft .NET Framework 4
(3037578)[1]

重要
信息泄漏

重要

Windows Vista x64 Edition Service Pack 2 上的 Microsoft .NET Framework 4
(3037578)[1]

重要
信息泄漏

重要

安装在 Windows Server 2008(用于 32 位系统)Service Pack 2 上的 Microsoft .NET Framework 4
(3037578)[1]

重要
信息泄漏

重要

安装在 Windows Server 2008(用于基于 x64 的系统)Service Pack 2 上的 Microsoft .NET Framework 4
(3037578)[1]

重要
信息泄漏

重要

安装在 Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2 上的 Microsoft .NET Framework 4
(3037578)[1]

重要
信息泄漏

重要

安装在 Windows 7(用于 32 位系统)Service Pack 1 上的 Microsoft .NET Framework 4
(3037578)[1]

重要
信息泄漏

重要

安装在 Windows 7(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4
(3037578)[1]

重要
信息泄漏

重要

安装在 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4
(3037578)[1]

重要
信息泄漏

重要

安装在 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4(服务器核心安装)
(3037578)[1]

重要
信息泄漏

重要

安装在 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1 上的 Microsoft .NET Framework 4
(3037578)[1]

重要
信息泄漏

重要

Microsoft .NET Framework 4.5/4.5.1/4.5.2

安装在 Windows Vista Service Pack 2 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

重要
信息泄漏

重要

安装在 Windows Vista x64 Edition Service Pack 2 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

重要
信息泄漏

重要

安装在 Windows Server 2008(用于 32 位系统)Service Pack 2 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

重要
信息泄漏

重要

安装在 Windows Server 2008(用于基于 x64 的系统)Service Pack 2 上的 Microsoft .NET Framework 4/4.5.1/4.5.2
(3037581)

重要
信息泄漏

重要

安装在 Windows 7(用于 32 位系统)Service Pack 1 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

重要
信息泄漏

重要

安装在 Windows 7(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

重要
信息泄漏

重要

安装在 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037581)

重要
信息泄漏

重要

安装在 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2(服务器核心安装)
(3037581)

重要
信息泄漏

重要

Windows 8(用于 32 位系统)上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037580)

重要
信息泄漏

重要

Windows 8.1(用于 32 位系统)上的 Microsoft .NET Framework 4.5.1/4.5.2
(3037579)

重要
信息泄漏

重要

Windows 8(用于基于 x64 的系统)上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037580)

重要
信息泄漏

重要

Windows 8.1(用于基于 x64 的系统)上的 Microsoft .NET Framework 4.5.1/4.5.2
(3037579)

重要
信息泄漏

重要

Windows Server 2012 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037580)

重要
信息泄漏

重要

Windows Server 2012 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2(服务器核心安装)
(3037580)

重要
信息泄漏

重要

Windows Server 2012 R2 上的 Microsoft .NET Framework 4.5.1/4.5.2
(3037579)

重要
信息泄漏

重要

Windows Server 2012 R2 上的 Microsoft .NET Framework 4.5.1/4.5.2(服务器核心安装)
(3037579)

重要
信息泄漏

重要

Windows RT 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3037580)

重要
信息泄漏

重要

Windows RT 8.1 上的 Microsoft .NET Framework 4.5.1/4.5.2
(3037579)

重要
信息泄漏

重要

[1].NET Framework 4 和 .NET Framework 4 客户端配置文件受到影响。

漏洞信息

ASP.NET 信息泄漏漏洞 - CVE-2015-1648

当 ASP.NET 在已禁用自定义错误信息的系统上错误地处理某些请求时,ASP.NET 中会存在信息泄漏漏洞。 成功利用此漏洞的攻击者可以查看部分 web 配置文件,这可能会暴露敏感信息。

若要利用此漏洞,攻击者可能向受影响的服务器发送经特殊设计的 web 请求,旨在诱使错误信息可能泄漏与发生异常的源行相关的信息。 最终,这可能泄漏不允许访问的信息。 通过从利用信息泄漏的错误消息中删除文件内容详细信息,此安全更新可以解决该漏洞。

默认情况下,ASP.NET 应用程序不受此漏洞的影响,因为这些应用程序配置为不向远程用户显示详细的错误消息。 有时,开发人员打开详细的错误信息以收集信息,但随后无法关闭这些错误信息,此时应用程序会受此漏洞的影响。

    <customErrors mode="remoteOnly" />

在生产环境中,最佳做法会查看更改为以下内容的条目:

    <customErrors mode="On" defaultRedirect="ErrorPage.htm" /> 

通常,生产环境开发人员不应使用以下内容:

    <customErrors mode="off" />

请注意,错误消息可根据错误代码进行自定义。 有关详细信息,请参阅 customErrors 元素(ASP.NET 架构)

为了进一步防御意外禁用自定义错误,计算机管理员可以打开零售模式。 有关详细信息,请参阅本公告的“变通方法”。

Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。 在发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。

缓解因素

以下缓解因素在您遇到的情形中可能会有所帮助:

  • 只有提供详细错误消息的 IIS 服务器会受影响;生产服务器不太可能受影响。

变通办法

以下变通办法在您遇到的情形中可能会有所帮助:

  • 所有 web 服务器上零售模式中的 Configure .NET

    在所有 web 服务器的 machine.config 文件中,将设置 "<deployment retail="true" />"添加到“配置”部分的 "system.web" 部分。

    在 32 位系统上,machine.config 位于 %windir%\Microsoft.NET\Framework\[version]\config\machine.config。

    在 64 位系统上,machine.config 位于 %windir%\Microsoft.NET\Framework64\[version]\config\machine.config。

    有关此设置的详细信息,请参阅部署元素(ASP.NET 设置架构)

    变通办法的影响。 将禁止每台服务器上所有网站中的全部 ASP.NET 详细错误消息。

    如何撤消变通办法。

    若要撤消变通办法,请删除通过此过程添加的设置。

  • 对所有网站启用自定义错误

    在所有网站的 web.config 文件中,确保 "customErrors" 设置(位于“配置”部分的 "system.web" 部分)未设置为 “off”。安全值为 "on"、"remoteonly" 或不进行设置。

    有关 customErrors 设置的详细信息,请参阅 customErrors 元素(ASP.NET 设置架构)

    变通办法的影响。将禁止所有网站中的全部 ASP.NET 详细错误消息。

    如何撤消变通办法。

    若要撤消变通办法,请还原通过此过程设定的设置。

安全更新部署

有关安全更新部署信息,请参阅“摘要”中此处引用的 Microsoft 知识库文章。

鸣谢

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。 有关详细信息,请参阅鸣谢

免责声明

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。 Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。 Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。 有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本

  • V1.0(2015 年 4 月 14 日): 公告已发布。
  • V2.0(2015 年 5 月 12 日): 重新发布的公告提供 3037580 更新,解决 Microsoft Windows 受影响版本上 Microsoft .NET Framework 4.5/4.5.1/4.5.2 的问题。 建议运行 .NET Framework 版本的客户安装新版本 3037580 更新,以免受此公告中讨论的漏洞影响。 有关详细信息,请参阅 Microsoft 知识库文章 3037580

页面生成时间:2015-05-06 13:24Z-07:00。