发布日期：2015-04-15
更新日期：2015-04-15

受影响系统：

Microsoft Windows Vista
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012
Microsoft Windows Server 2008 R2 SP1
Microsoft Windows Server 2008
Microsoft Windows Server 2003
Microsoft Windows RT 8.1
Microsoft Windows RT
Microsoft Windows 8.1
Microsoft Windows 8
Microsoft Windows 7

描述：

---

BUGTRAQ  ID: 74010
CVE(CAN) ID: CVE-2015-1648

ASP.NET是.NET FrameWork的一部分，是一项微软公司的技术，是一种使嵌入网页中的脚本可由因特网服务器执行的服务器端脚本技术，它可以在通过HTTP请求文档时再在Web服务器上动态创建它们。

在禁用了customErrors 配置的系统上，ASP.NET处理某些构造的请求时出错，在实现上存在信息泄露漏洞。攻击者利用此漏洞可获取Web配置文件的部分内容。

<*来源：Microsoft
  
  链接：http://technet.microsoft.com/security/bulletin/MS15-041
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：


  * 在所有Web服务器的retail模式中配置.net
  * 启用所有站点的"customErrors"。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS15-041）以及相应补丁:
MS15-041：Vulnerability in .NET Framework Could Allow Information Disclosure (3048010)
链接：http://technet.microsoft.com/security/bulletin/MS15-041

浏览次数：2353
严重程度：0（网友投票）