Kumulatives Update vom 13. Oktober 2020 bis KB4578974 für .NET Framework 3.5 und 4.8 für Windows 10, Version 1903, Windows Server, Version 1903, Windows 10, Version 1909 und Windows Server, Version 1909

Gilt für
.NET

Hinweis

  • Veröffentlichungsdatum:
    Dienstag, 13. Oktober 2020
  • Version:
    .NET Framework 3.5 und 4.8

Zusammenfassung

Es besteht eine Sicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen, wenn das .NET Framework Objekte im Arbeitsspeicher nicht ordnungsgemäß verarbeitet. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte den Inhalt des Arbeitsspeichers eines betroffenen Systems offenlegen. Um diese Sicherheitsanfälligkeit auszunutzen, muss ein authentifizierter Angreifer eine speziell gestaltete Anwendung ausführen. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie .NET Framework Objekte im Speicher verarbeitet.

Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie in den folgenden CVEs (Common Vulnerabilities and Exposures).

Bekannte Probleme bei diesem Update

ASP.Net Anwendungen während der Vorkompilierung mit Fehlermeldung fehlschlagen

Symptome
Nachdem Sie dieses Sicherheits- und Qualitätsrollup vom 13. Oktober 2020 für .NET Framework 4.8 angewendet haben, schlagen einige ASP.Net Anwendungen während der Vorkompilierung fehl. Die Fehlermeldung, die Sie erhalten, enthält wahrscheinlich die Wörter "Fehler ASPCONFIG".

Ursache
Ein ungültiger Konfigurationsstatus in den Abschnitten "sessionState", "anonymouseIdentification" oder "authentication/forms" der "System.web"-Konfiguration. Dies kann bei Build- und Veröffentlichungsroutinen auftreten, wenn Konfigurationstransformationen die Web.config Datei für die Vorkompilierung in einem Zwischenzustand belassen.

Problemumgehung

Dieses Problem wurde in KB4601056 behoben.

ASP.Net Anwendungen dürfen keine Token ohne Cookie im URI bereitstellen.

Symptome
Nachdem Sie dieses Sicherheits- und Qualitätsrollup vom 1. Oktober 2020 für .NET Framework 4.8 angewendet haben, stellen einige ASP.Net Anwendungen möglicherweise keine cookielosen Token im URI bereit, was möglicherweise zu 302-Umleitungsschleifen oder zu einem verlorenen oder fehlenden Sitzungszustand führt.

Ursache
Die ASP.Net Features für Sitzungszustand, anonyme Identifikation und Formularauthentifizierung basieren alle auf der Ausgabe von Token an einen Webclient, und sie alle ermöglichen die Option, dass diese Token in einem Cookie übermittelt oder in den URI für Clients eingebettet werden, die keine Cookies unterstützen. Die URI-Einbettung ist seit langem eine unsichere und missmutige Vorgehensweise, und diese KB deaktiviert die Ausgabe von Token in URIs, es sei denn, eines dieser drei Features fordert explizit den Cookiemodus "UseUri" in der Konfiguration an. Konfigurationen, die "AutoDetect" oder "UseDeviceProfile" angeben, können versehentlich dazu führen, dass versucht wurde, diese Token in den URI einzubetten.

Problemumgehung

Dieses Problem wurde in KB4601056 behoben.

So erhalten Sie dieses Update

Dieses Update installieren

Veröffentlichungskanal Verfügbar Nächster Schritt
Windows Update und Microsoft Update Ja Keiner. Dieses Update wird von Windows Update automatisch heruntergeladen und installiert.
Microsoft Update-Katalog Ja Das eigenständige Paket für dieses Update finden Sie auf der Microsoft Update-Katalog-Website.
Windows Server Update Services (WSUS) Ja Dieses Update wird automatisch mit WSUS synchronisiert, wenn Sie Produkte und Klassifizierungen wie folgt konfigurieren:
Product:Windows 10, Version 1903, Windows Server, Version 1903, Windows 10, Version 1909 und Windows Server, Version 1909
Klassifizierung: Sicherheitsupdates

Dateiinformationen

Eine Liste der Dateien, die in diesem Update bereitgestellt werden, finden Sie im Dokument mit Dateiinformationen für das kumulative Update.

Informationen zum Schutz und zur Sicherheit