13. oktoober 2020 – KB4578968 koondvärskendus .NET raamistik 3.5 ja 4.8 jaoks Windows 10 versiooni 2004 Windows Server versiooni 2004, Windows 10 versiooni 20H2 ja Windows Server versiooni 20H2 jaoks

Rakenduskoht
.NET

Märkus.

  • Väljaandmiskuupäev:
    13. oktoober 2020
  • Versioon:
    .NET raamistik 3.5 ja 4.8

Kokkuvõte

Teabe avaldamise nõrkus esineb siis, kui .NET raamistik töötleb mälus olevaid objekte valesti. Ründaja, kes haavatavust edukalt kasutas, võib avaldada mõjutatud süsteemi mälu sisu. Haavatavuse ärakasutamiseks peab autenditud ründaja kasutama spetsiaalselt ette valmistatud rakendust. Värskendus kõrvaldab haavatavuse, parandades, kuidas .NET raamistik töötleb mälus olevaid objekte.

Lisateavet nõrkuste kohta leiate järgmistest levinumatest nõrkustest ja säritustest (CVE).

Selle värskenduse teadaolevad probleemid

ASP.Net rakendused nurjuvad eelkompileerimisel tõrketeatega

Tunnused
Pärast selle 13. oktoobri 2020 turbe- ja kvaliteedivärskenduskomplekti rakendamist .NET raamistik 4.8 jaoks nurjuvad mõned ASP.Net rakendused eelkompileerimise ajal. Kuvatav tõrketeade sisaldab tõenäoliselt sõnu "Error ASPCONFIG" (Tõrge ASPCONFIG).

Põhjus
Sobimatu konfiguratsiooniolek konfiguratsiooni System.web jaotistes "sessionState", "anonymouseIdentification" või "authentication/forms". See võib ilmneda järgu ja avaldamise rutiinide ajal, kui konfiguratsiooniteisendused jätavad Web.config faili eelkompileerimiseks vaheolekusse.

Lahendus

Selle probleemi lahendas KB4601050.

ASP.Net rakendused ei pruugi URI-s pakkuda küpsiseta tõendeid

Tunnused
Pärast seda, kui rakendate selle 1. oktoobri 2020 turbe- ja kvaliteedivärskenduskomplekti .NET raamistik 4.8 jaoks, ei pruugi mõned ASP.Net rakendused pakkuda URI-s küpsiseta tõendeid, mille tulemuseks võib olla 302-ümbersuunamise tsükkel või kaotsiläinud või puuduv seansi olek.

Põhjus
Seansioleku, anonüümse tuvastamise ja vormide autentimise funktsioonid ASP.Net kõik sõltuvad veebikliendile lubade väljastamisest ja need kõik lubavad nende lubade edastamist küpsisesse või manustada URI-sse nende klientide jaoks, kes küpsiseid ei toeta. URI-manustamine on pikka aega olnud ebaturvaline ja mittesoovitatud tava ning see KB keelab vaikselt URI-s lubade väljastamise, v.a juhul, kui üks neist kolmest funktsioonist nõuab konkreetselt konfigureerimises "UseUri" küpsiserežiimi. Konfiguratsioonid, mis määravad "AutoDetect" või "UseDeviceProfile", võivad tahtmatult põhjustada nende lubade URI-sse manustamise katse ja nurjumise.

Lahendus

Selle probleemi lahendas KB4601050.

Selle värskenduse hankimine

Selle värskenduse installimine

Väljalaske kanal Saadaval Järgmine etapp
Windows Update ja Microsoft Update Jah Pole. See värskendus laaditakse alla ja installitakse Windows Update’i kaudu automaatselt.
Microsoft Update’i kataloog Jah Värskenduse autonoomse paketi hankimiseks minge Microsoft Update’i kataloogi veebisaidile.
Windows Server Update Services (WSUS) Jah See värskendus sünkroonitakse automaatselt WSUS-iga, kui konfigureerite Tooted ja liigitused järgmiselt.
Toode: Windows 10, versioon 2004, Windows Server, versioon 2004, Windows 10, versioon 20H2 ja Windows Server, versioon 20H2
Liigitus: turbevärskendused

Failiteave

Sellesse värskendusse kaasatud failide loendi vaatamiseks laadige alla koondvärskenduse failiteave.

Teave kaitse ja turvalisuse kohta