Rakenduskoht:
Microsoft .NET raamistik 2.0 Microsoft .NET raamistik 3.0 Microsoft .NET raamistik 4.5.2 Microsoft .NET raamistik 4.6
Teatis
13. oktoobril 2020 avaldame selle värskenduse uuesti, et lahendada teadaolev probleem, mis mõjutas algset väljaannet. Peaksite installima selle värskenduse versiooni (V3) oma tavalise turberutiini osana.
23. juulil 2020 anti välja värskendus KB4565583 v2 ja KB4565586 v2, et asendada nende värskenduste versioon v1 versioonide .NET raamistik 4.5.2 ja 4.6 jaoks Windows Server 2008 SP2. V1 värskendusi ei installitud klientidele, kellel olid teatud ESU konfiguratsioonid. V2 värskendused lahendavad probleemi klientidele, kes ei saanud v1 värskendusi installida.
Kui olete neist värskendustest juba v1 installinud, installige v3.
Nende värskenduste v3 hankimiseks vaadake üksikvärskenduse artikli jaotist "Värskenduse hankimine ja installimine". Iga artikli lingid leiate selle artikli jaotisest "Lisateave selle värskenduste kohta".
TÄHTIS Enne selle värskenduse installimist veenduge, et olete installinud jaotises Selle värskenduse hankimine loetletud nõutavad värskendused.
OLULINE WSUS-i skannimise CAB-failid on jätkuvalt saadaval Windows Server 2008 SP2 jaoks. Kui teil on seadmete alamhulk, kus töötab see opsüsteem ilma ESU-ta, võidakse neid teie paikamishalduse ja nõuetelevastavuse tööriistakomplektides kuvada nõuetele mittevastavana.
OLULINE Kliendid, kes on ostnud selle operatsioonisüsteemi asutusesiseste versioonide pikendatud turbevärskenduse (ESU), peavad järgima KB4522133 juhiseid, et jätkata turbevärskenduste saamist pärast pikendatud toe lõppemist 14. jaanuaril 2020. Lisateavet ESU ja toetatud väljaannete kohta leiate teemast KB4497181.
OLULINE Alates 2019. aasta augustist vajavad .NET raamistik 4.6 ja uuema versiooni värskendused Windows Server 2008 SP2 jaoks SHA-2 koodi allkirjastamise tuge. Installiprobleemide vältimiseks veenduge, et teil oleks kõik uusimad Windowsi Teabevärskendused enne selle värskenduse rakendamist. Üksikasjalikumat teavet SHA-2 koodi allkirjastamise tugiteenuste värskenduste kohta leiate teemast KB 4474419.
OLULINE Kõik .NET raamistik 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1 ja 4.6 värskendused nõuavad, et d3dcompiler_47.dll värskendus oleks installitud. Soovitame teil enne selle värskenduse rakendamist installida kaasatud d3dcompiler_47.dll värskenduse. lisateavet d3dcompiler_47.dll kohta leiate teemast KB 4019990.
OLULINE Kui installite pärast selle värskenduse installimist mõne keelepaketi, peate selle värskenduse uuesti installima. Seetõttu soovitame teil installida kõik vajalikud keelepaketid enne selle värskenduse installimist. Lisateavet leiate teemast Keelepakettide lisamine Windowsi.
Kokkuvõte
.NET raamistik on olemas koodi kaugkäivitamise nõrkus, kui tarkvara ei kontrolli XML-failisisendi lähtemärgistust. Ründaja, kes haavatavust edukalt kasutas, võis käitada suvalist koodi protsessi kontekstis, mis vastutab XML-sisu sarjastamise eest. Selle nõrkuse kasutamiseks võib ründaja üles laadida spetsiaalselt meisterdatud dokumendi serverisse, mis kasutab mõjutatud toodet sisu töötlemiseks. Turbevärskendus kõrvaldab haavatavuse, parandades, kuidas .NET raamistik XML-sisu lähtemärgistust valideerib.
Turbevärskendus mõjutab seda, kuidas .NET raamistik tüübid System.Data.DataTable ja System.Data.DataSet loevad XML-serialiseeritud andmeid. Enamikus .NET raamistik rakendustes ei muutu pärast värskenduse installimist käitumismuudatus. Lisateavet selle kohta, kuidas värskendus mõjutab .NET raamistik (sh võimalike stsenaariumide näited), leiate https://go.microsoft.com/fwlink/?linkid=2132227 turbejuhistest DataTable ja DataSet.
Lisateavet nõrkuste kohta leiate järgmistest levinumatest nõrkustest ja säritustest (CVE).
Teadaolevad probleemid selle värskenduse teatud osades
|
Sümptom |
Pärast selle värskenduse rakendamist esineb mõnedes rakendustes TypeInitializationException erand, kui nad proovivad deserialiseerida System.Data.DataSet või System.Data.DataTable eksemplare XML-ist SQL CLR-i salvestatud protseduuris. Selle erandi pinujälg kuvatakse järgmiselt. System.TypeInitializationException: ulatuse lähtestajas ilmnes erand. ---> System.IO.FileNotFoundException: faili või assemblerit System.Drawing, versioon=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a või mõnda selle sõltuvust ei saanud laadida. Süsteem ei leia määratud faili.at System.Data.TypeLimiter.Scope.IsTypeUnconditionallyAllowed(Type type) at System.Data.TypeLimiter.Scope.IsAllowedType(type type) at System.Data.TypeLimiter.EnsureTypeIsAllowed(Type type, TypeLimiter capturedLimiter) |
|
Ajutine lahendus |
Installige selle värskenduse uusim versioon, mis anti välja 13. oktoobril 2020. |
|
Sümptom |
Seda värskendust ei installita ja see tagastab kas järgmise tõrketeate või mõlemad.
|
|
Ajutine lahendus |
Üksikasjalikumat teavet leiate üksiktoote versiooni .NET raamistik artiklist. |
Lisateave selle värskenduse kohta
Järgmised artiklid sisaldavad lisateavet selle värskenduse kohta, mis on seotud üksikute tooteversioonide kohta.
-
4565578 Ainult turbevärskendus .NET raamistik 2.0, 3.0 jaoks Windows Server 2008 SP2 jaoks (KB4565578)
-
4565583 Ainult turbevärskendus windows 7 SP1 ja Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2 .NET raamistik 4.5.2 jaoks (KB4565583)
-
4565586 Ainult turbevärskendus windows 7 SP1 ja Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2 .NET raamistik 4.6 jaoks (KB4565586)
Teave kaitse ja turvalisuse kohta
-
Kaitske end veebis: Windowsi turve tugi
-
Lugege, kuidas kaitseme küberohtude eest: Microsoft Security
