Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Microsoft Updates
(KB2416447, KB2572066, KB2572067, KB2572069, KB2604042, KB2604078, KB2656353, KB2698023, KB2698032, KB2698035, KB2742597, KB2742604, KB2742607, KB2833941, KB2833949, KB2833951, KB2898860, KB2904878, KB2931352, KB2972207, KB2978114, KB3023211, KB3037572, KB928365, KB928366, KB928367, KB929729, KB929916, KB930494, KB933854, KB953295, KB953297, KB953298, KB979906, SP1)
Описание
Microsoft ASP .NET Framework некорректно обрабатывает включенные комментарии (/* */), что позволяет злоумышленникам, действующим удаленно, обойти фильтрацию запросов и проводить атаки межсайтовое выполнения сценариев, или вызвать отказ в обслуживании, как показано на примере атрибута выражения xss:expression STYLE в закрывающем XSS HTML tag.
Как исправить
Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/Bulletin/MS07-040.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-040.mspx
Ссылки
BUGTRAQ (20070405 Microsoft .NET request filtering bypass vulnerability (BID 20753)): http://www.securityfocus.com/archive/1/archive/1/464796/100/0/threaded
http://www.cpni.gov.uk/docs/re-20061020-00710.pdf
http://www.procheckup.com/Vulner_PR0703.php
BID (20753): http://www.securityfocus.com/bid/20753
http://www.cpni.gov.uk/docs/re-20061020-00710.pdf
http://www.procheckup.com/Vulner_PR0703.php
BID (20753): http://www.securityfocus.com/bid/20753