Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:S/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Microsoft .NET Framework
(1.1 SP1, 2.0 SP2, 3.5 SP1, 3.5.1, 4.0)
Microsoft Updates
(KB2656351, KB2656352, KB2656353, KB2656356, KB2656358, KB2656362, KB2657424, KB2698023, KB2742597, KB2833941, KB2836940, KB2836942, KB2858302, KB2861697, KB2901110, KB2901111, KB2901113, KB2901115, KB2931352, KB2931354, KB2931356, KB2931365, KB2937608, KB2972207, KB2972211, KB2972212, KB2972214, KB2972215, KB2973112, KB3037572, KB3037573, KB3037574, KB3037577, KB3037578, KB3037581, KB3098778)
Описание
Уязвимость, которая позволяет атакующему повысить свой уровень привилегий, существует в .NET Framework и связана с аутентификацией пользователей. Для эксплуатации этой уязвимости злоумышленник должен иметь возможность зарегистрировать учетную запись в приложении ASP.NET и знать имя учетной записи целевого пользователя. После этого злоумышленник сможет создать специальный веб-запрос, используя имя созданной учетной записи, чтобы получить доступ к целевой учетной записи. В случае успешной эксплуатации злоумышленник получит возможность выполнять любые действия в контексте целевого пользователя, включая выполнение произвольных команд на сайте.
Как исправить
Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-100
http://technet.microsoft.com/en-us/security/bulletin/MS11-100
Ссылки
Источник: CVE
Наименование: CVE-2011-3416
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3416
MS (MS11-100): http://technet.microsoft.com/en-us/security/bulletin/MS11-100
Наименование: CVE-2011-3416
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3416
MS (MS11-100): http://technet.microsoft.com/en-us/security/bulletin/MS11-100