Vulnerabilidade do ASP.NET – hotfix disponível!!!!

Há diversos blogs na Internet falando da vulnerabilidade do ASP.NET recentemente descoberta que permite o acesso no servidor Web, tantos que optei por não escrever nada no meu.

Porém a alguns minutos atrás foi lançado o hotfix para todas as versões afetadas pelo bug. Mais informações podem ser obtidas em:

https://www.microsoft.com/technet/security/bulletin/MS10-070.mspx

Alguns pontos importantes:

  • Vou instalar no Windows 2008 R2, mas não encontro o pacote para o framework 2.0 para download
    Não tem problema, instale a versão do framework 3.5.x e ele irá “corrigir” também a versão 2.0 (como devem saber, o 3.5.x é um superconjunto do 2.0).
     
  • Preciso instalar o hotfix no Server Core?
    Sim, se você tem o Windows 2008 R2 com ASP.NET instalado. O artigo possui orientações de como instalar no server core usando a linha de comando.
     
  • Preciso reiniciar os serviços ou dar boot no servidor?
    A princípio não; o instalador irá parar os serviços necessários, aplicar o hotfix, e reiniciá-los. Note que isso pode impactar um ambiente de produção, portanto recomendamos que o mesmo seja feito de forma planejada para evitar transtornos em sistemas críticos, em horário for a do pico de uso dos sistemas. Caso por algum motivo o instalador não consiga parar os serviços, um restart será requerido.
     
  • Já apliquei as medidas de contorno (como o uso do URLScan). Preciso aplicar o hotfix assim mesmo?
    Sim, a aplicação é necessária, porém você poderá fazer isso de forma mais planejada. Ainda assim, recomendamos que o mesmo ocorra o mais rapidamente possível. 
     
  • Tenho outras dúvidas. O que fazer?
    Se você tem um contrato de suporte Premier com a Microsoft, entre em contato com o TAM que lhe atende. Caso contrário, procure o site de suporte da Microsoft (support.microsoft.com)  ou os fóruns públicos do TechNet e MSDN.

Mais uma vez, este hotfix deve ser aplicado o mais rapidamente possível.

Abraços,

Paulo.