Märkus.
- Väljaandmiskuupäev:
13. oktoober 2020 - Versioon:
.NET raamistik 3.5 ja 4.8
Kokkuvõte
Teabe avaldamise nõrkus esineb siis, kui .NET raamistik töötleb mälus olevaid objekte valesti. Ründaja, kes haavatavust edukalt kasutas, võib avaldada mõjutatud süsteemi mälu sisu. Haavatavuse ärakasutamiseks peab autenditud ründaja kasutama spetsiaalselt ette valmistatud rakendust. Värskendus kõrvaldab haavatavuse, parandades, kuidas .NET raamistik töötleb mälus olevaid objekte.
Lisateavet nõrkuste kohta leiate järgmistest levinumatest nõrkustest ja säritustest (CVE).
Selle värskenduse teadaolevad probleemid
ASP.Net rakendused nurjuvad eelkompileerimisel tõrketeatega
Tunnused
Pärast selle 13. oktoobri 2020 turbe- ja kvaliteedivärskenduskomplekti rakendamist .NET raamistik 4.8 jaoks nurjuvad mõned ASP.Net rakendused eelkompileerimise ajal. Kuvatav tõrketeade sisaldab tõenäoliselt sõnu "Error ASPCONFIG" (Tõrge ASPCONFIG).
Põhjus
Sobimatu konfiguratsiooniolek konfiguratsiooni System.web jaotistes "sessionState", "anonymouseIdentification" või "authentication/forms". See võib ilmneda järgu ja avaldamise rutiinide ajal, kui konfiguratsiooniteisendused jätavad Web.config faili eelkompileerimiseks vaheolekusse.
Lahendus
Selle probleemi lahendas KB4601050.
ASP.Net rakendused ei pruugi URI-s pakkuda küpsiseta tõendeid
Tunnused
Pärast seda, kui rakendate selle 1. oktoobri 2020 turbe- ja kvaliteedivärskenduskomplekti .NET raamistik 4.8 jaoks, ei pruugi mõned ASP.Net rakendused pakkuda URI-s küpsiseta tõendeid, mille tulemuseks võib olla 302-ümbersuunamise tsükkel või kaotsiläinud või puuduv seansi olek.
Põhjus
Seansioleku, anonüümse tuvastamise ja vormide autentimise funktsioonid ASP.Net kõik sõltuvad veebikliendile lubade väljastamisest ja need kõik lubavad nende lubade edastamist küpsisesse või manustada URI-sse nende klientide jaoks, kes küpsiseid ei toeta. URI-manustamine on pikka aega olnud ebaturvaline ja mittesoovitatud tava ning see KB keelab vaikselt URI-s lubade väljastamise, v.a juhul, kui üks neist kolmest funktsioonist nõuab konkreetselt konfigureerimises "UseUri" küpsiserežiimi. Konfiguratsioonid, mis määravad "AutoDetect" või "UseDeviceProfile", võivad tahtmatult põhjustada nende lubade URI-sse manustamise katse ja nurjumise.
Lahendus
Selle probleemi lahendas KB4601050.
Selle värskenduse hankimine
Selle värskenduse installimine
| Väljalaske kanal | Saadaval | Järgmine etapp |
|---|---|---|
| Windows Update ja Microsoft Update | Jah | Pole. See värskendus laaditakse alla ja installitakse Windows Update’i kaudu automaatselt. |
| Microsoft Update’i kataloog | Jah | Värskenduse autonoomse paketi hankimiseks minge Microsoft Update’i kataloogi veebisaidile. |
| Windows Server Update Services (WSUS) | Jah | See värskendus sünkroonitakse automaatselt WSUS-iga, kui konfigureerite Tooted ja liigitused järgmiselt. Toode: Windows 10, versioon 2004, Windows Server, versioon 2004, Windows 10, versioon 20H2 ja Windows Server, versioon 20H2 Liigitus: turbevärskendused |
Failiteave
Sellesse värskendusse kaasatud failide loendi vaatamiseks laadige alla koondvärskenduse failiteave.
Teave kaitse ja turvalisuse kohta
- Kaitske end veebis: Windowsi turve tugi
- Lugege, kuidas kaitseme küberohtude eest: Microsofti turbeteenus