Hinweise zum Sicherheits- und Qualitätsrollup für .NET Framework 4.6 unter Windows Server 2008 SP2 (KB 4055002)

Gilt für: .NET Framework 4.6

Zusammenfassung


Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit bezüglich der Umgehung von Sicherheitsfunktionen, wenn Microsoft .NET Framework- und .NET Core-Komponenten Zertifikate nicht vollständig überprüfen. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass .NET Framework- und .NET Core-Komponenten Zertifikate vollständig überprüfen. Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie unter Microsoft Common Vulnerabilities and Exposures CVE-2018-0786.

Darüber hinaus behebt dieses Sicherheitsupdate eine Sicherheitsanfälligkeit bezüglich Denial-of-Service, wenn .NET Framework- und .NET Core-Komponenten XML-Dokumente nicht ordnungsgemäß verarbeiten. Dieses Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie .NET Framework- und .NET Core-Komponenten XML-Dokumente verarbeiten. Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie unter Microsoft Common Vulnerabilities and Exposures CVE-2018-0764.

Wichtig

  • Alle Updates für .NET Framework 4.6 setzen voraus, dass das Update „d3dcompiler_47.dll“ installiert wird. Es wird empfohlen, das enthaltene Update „d3dcompiler_47.dll“ zu installieren, bevor Sie dieses Update anwenden. Weitere Informationen zum Update „d3dcompiler_47.dll“ finden Sie unter KB 4019478 für Windows Server 2008 SP2.
  • Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, alle benötigen Language Packs vor diesem Update zu installieren. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.

Zusätzliche Informationen zu diesem Sicherheitsupdate


  • Erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) wird in RFC 5280 im Abschnitt 4.2.1.12 beschrieben. Diese Erweiterung gibt zusätzlich zu den in der Schlüsselverwendungserweiterung angegebenen grundlegenden Verwendungszwecken oder anstelle dieser Verwendungszwecke einen oder mehrere Verwendungszwecke des zertifizierten öffentlichen Schlüssels an. Beispielsweise muss ein Zertifikat, das für die Authentifizierung eines Clients gegenüber einem Server verwendet wird, für die Clientauthentifizierung konfiguriert sein. In ähnlicher Weise muss ein Zertifikat, das für die Authentifizierung eines Servers verwendet wird, für die Serverauthentifizierung konfiguriert sein. Mit diesem Update wird dieser Prozess geändert, sodass die Überprüfung der Zertifikatkette fehlschlägt, wenn das Stammzertifikat deaktiviert ist. Dies gilt zusätzlich zur Anforderung, dass die entsprechende Client- oder Server-EKU in Zertifikaten erforderlich ist.

    Wenn Zertifikate zur Authentifizierung verwendet werden, überprüft der Authentifikator das vom Remoteendpunkt bereitgestellte Zertifikat und sucht in Anwendungsrichtlinienerweiterungen nach dem richtigen Objektbezeichner für den Zweck. Wenn ein Zertifikat für die Clientauthentifizierung verwendet wird, muss der Objektbezeichner für die Clientauthentifizierung in den EKU-Erweiterungen des Zertifikats vorhanden sein. Andernfalls schlägt die Authentifizierung fehl. Der Objektbezeichner für „Clientauthentifizierung“ lautet „1.3.6.1.5.5.7.3.2“. Wenn ein Zertifikat entsprechend für die Serverauthentifizierung verwendet wird, muss der Objektbezeichner für die Serverauthentifizierung in den EKU-Erweiterungen des Zertifikats vorhanden sein. Andernfalls schlägt die Authentifizierung fehl. Der Objektbezeichner für „Serverauthentifizierung“ lautet „1.3.6.1.5.5.7.3.1“. Bei Zertifikaten ohne EKU-Erweiterung erfolgt die Authentifizierung weiterhin korrekt.

    Sie können Änderungen an den Zertifikaten Ihrer Komponente vornehmen, um sicherzustellen, dass sie die korrekten EKU-OID-Attribute verwenden und ordnungsgemäß geschützt werden. Sollten Sie auf erneut ausgestellte Zertifikate vorübergehend nicht korrekt zugreifen können, können Sie die Sicherheitsänderung aktivieren oder deaktivieren, um eine Beeinträchtigung der Konnektivität zu vermeiden. Geben Sie dazu die folgende Anwendungseinstellung (appSettings) in der Konfigurationsdatei an:
    <appSettings>    <add key="wcf:useLegacyCertificateUsagePolicy" value="true" /></appSettings>
    Hinweis Durch Festlegen des Werts auf „true“ werden die Sicherheitsänderungen deaktiviert.
  • Weitere Informationen zu diesem Sicherheitsupdate für Windows Server 2008 SP2 finden Sie im folgenden Artikel in der Microsoft Knowledge Base:

4055267 Sicherheits- und Qualitätsrollup für .NET Framework 2.0 SP2, 3.0 SP2, 4.5.2 und 4.6 für Windows Server 2008 SP2 (KB 4055267)

Bezug und Installation des Updates


Methode 1: Windows Update

Dieses Update ist über Windows Update erhältlich. Wenn Sie die automatische Aktualisierung einschalten, wird das Update heruntergeladen und automatisch installiert. Weitere Informationen zum automatischen Abrufen von Sicherheitsupdates finden Sie unter Windows Update: FAQ.

Methode 2: Windows Server Update Services (WSUS)

Gehen Sie auf dem WSUS-Server folgendermaßen vor:

  1. Klicken Sie auf Start, auf Verwaltung und anschließend auf Microsoft Windows Server Update Services 3.0.
  2. Erweitern Sie Computername, und klicken Sie dann auf Aktion.
  3. Klicken Sie auf Updates importieren.
  4. WSUS öffnet ein Browserfenster, in dem Sie möglicherweise aufgefordert werden, ein ActiveX-Steuerelement zu installieren. Sie müssen das ActiveX-Steuerelement installieren, um fortzufahren.
  5. Der Bildschirm Microsoft Update-Katalog wird geöffnet. Geben Sie 4055532 in das Feld Suchen ein, und klicken Sie dann auf Suchen.
  6. Suchen Sie die passenden .NET Framework-Pakete für die Betriebssysteme, Sprachen und Prozessoren in Ihrer Umgebung. Klicken Sie auf Hinzufügen, um die Updates zum Warenkorb hinzuzufügen.
  7. Nachdem Sie alle benötigten Pakete ausgewählt haben, klicken Sie auf Warenkorb anzeigen.
  8. Klicken Sie auf Importieren, um die Pakete in Ihren WSUS-Server zu importieren.
  9. KlickenSie nach dem Import der Pakete auf Schließen, um zu WSUS zurückzukehren.

Anschließend können die Updates über WSUS installiert werden.

Hinweise zur Bereitstellung

Informationen zur Bereitstellung dieses Sicherheitsupdates finden Sie im folgenden Artikel in der Microsoft Knowledge Base:

20180109 Informationen zur Bereitstellung von Sicherheitsupdates: 9. Januar 2018

Informationen zur Deinstallation des Updates

Hinweis Microsoft rät davon ab, Sicherheitsupdates zu entfernen. Verwenden Sie das Dienstprogramm Programme und Funktionen in der Systemsteuerung, um dieses Update zu entfernen.

Aktualisieren von Informationen zum Neustart

Nach der Installation dieses Updates ist nur dann ein Systemneustart erforderlich, wenn die zu aktualisierenden Dateien gesperrt oder in Gebrauch sind.

Ersetzte Updates

Dieses Update ersetzt die folgenden Updates:

Hilfe und Support zum Sicherheitsupdate