Rakenduskoht
.NET

Rakenduskoht:

Microsoft .NET raamistik 2.0 Microsoft .NET raamistik 3.0 Microsoft .NET raamistik 4.5.2 Microsoft .NET raamistik 4.6

Teatis

23. juulil 2020 anti välja värskendus KB4552952 v2 ja KB4552951 v2, et asendada nende värskenduste versioon v1 .NET raamistik 4.5.2 ja 4.6 jaoks Windows Server 2008 SP2. V1 värskendusi ei installitud klientidele, kellel olid teatud ESU konfiguratsioonid.  V2 värskendused lahendavad probleemi klientidele, kes ei saanud v1 värskendusi installida.  

Kui olete neist värskendustest juba v1 installinud, pole vaja midagi teha.  

Nende värskenduste v2 hankimiseks vaadake üksikvärskenduse artikli jaotist "Värskenduse hankimine ja installimine".  Iga artikli lingid leiate selle artikli jaotisest "Lisateave selle värskenduste kohta".

TÄHTIS Enne selle värskenduse installimist veenduge, et olete installinud jaotises Selle värskenduse hankimine loetletud nõutavad värskendused.

OLULINE WSUS-i skannimise CAB-failid on jätkuvalt saadaval Windows Server 2008 SP2 jaoks. Kui teil on seadmete alamhulk, kus töötab see opsüsteem ilma ESU-ta, võidakse neid teie paikamishalduse ja nõuetelevastavuse tööriistakomplektides kuvada nõuetele mittevastavana.

OLULINE Kliendid, kes on ostnud selle operatsioonisüsteemi asutusesiseste versioonide pikendatud turbevärskenduse (ESU), peavad järgima KB4522133 juhiseid, et jätkata turbevärskenduste saamist pärast pikendatud toe lõppemist 14. jaanuaril 2020. Lisateavet ESU ja toetatud väljaannete kohta leiate teemast KB4497181.

OLULINE Alates 2019. aasta augustist vajavad .NET raamistik 4.6 ja uuema versiooni värskendused Windows Server 2008 SP2 jaoks SHA-2 koodi allkirjastamise tuge. Installiprobleemide vältimiseks veenduge, et teil oleks kõik uusimad Windowsi Teabevärskendused enne selle värskenduse rakendamist. Üksikasjalikumat teavet SHA-2 koodi allkirjastamise tugiteenuste värskenduste kohta leiate teemast KB 4474419.

OLULINE Kõik .NET raamistik 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1 ja 4.6 värskendused nõuavad, et d3dcompiler_47.dll värskendus oleks installitud. Soovitame teil enne selle värskenduse rakendamist installida kaasatud d3dcompiler_47.dll värskenduse. lisateavet d3dcompiler_47.dll kohta leiate teemast KB 4019990.

OLULINE Kui installite pärast selle värskenduse installimist mõne keelepaketi, peate selle värskenduse uuesti installima. Seetõttu soovitame teil installida kõik vajalikud keelepaketid enne selle värskenduse installimist. Lisateavet leiate teemast Keelepakettide lisamine Windowsi.

Kokkuvõte

.NET raamistik on õiguste laiendamise nõrkus, mis võib lubada ründajal oma õigusi kõrgemale tasemele tõsta. Haavatavuse ärakasutamiseks peab ründaja esmalt pääsema juurde kohalikule arvutile ja seejärel käivitama pahatahtliku programmi. Värskendus kõrvaldab haavatavuse, parandades, kuidas .NET raamistik COM-objekte aktiveerib.  

Lisateavet nõrkuste kohta leiate järgmistest levinumatest nõrkustest ja säritustest (CVE).

.NET raamistik tarkvaras on koodi kaugkäivitamise nõrkus, kui tarkvaral ei õnnestu faili lähtemärgistust kontrollida. Ründaja, kes haavatavust edukalt kasutas, võis praeguse kasutaja kontekstis käitada suvalise koodi. Kui praegune kasutaja on sisse logitud administraatoriõigustega, võib ründaja mõjutatud süsteemi juhtimise üle võtta. Ründaja võis siis programme installida; andmeid vaadata, muuta või kustutada; või looge uued kontod, millel on täielikud kasutajaõigused. Kasutajad, kelle kontod on konfigureeritud nii, et neil on süsteemis vähem kasutajaõigusi, võivad olla vähem mõjutatud kui administraatoriõigustega kasutajad. Haavatavuse ärakasutamine nõuab, et kasutaja avaks spetsiaalselt valmistatud faili, millel on mõjutatud .NET raamistik versioon. Meilirünnete stsenaariumi korral võib ründaja haavatavust ära kasutada, saates spetsiaalselt loodud faili kasutajale ja veendes kasutajat faili avama. Turbevärskendus kõrvaldab nõrkuse, parandades, kuidas .NET raamistik kontrollib faili lähtemärgistust.

Lisateavet nõrkuste kohta leiate järgmistest levinumatest nõrkustest ja säritustest (CVE).

Teenuse keelamise nõrkus on olemas, kui .NET raamistik töötleb veebitaotlusi valesti. Ründaja, kes selle nõrkuse edukalt ära kasutas, võis põhjustada teenuse keelamise .NET raamistik veebirakenduse vastu. Haavatavust saab kaugpöörduda ilma autentimiseta. Autentimata kaugrünnak võib seda haavatavust ära kasutada, esitades .NET raamistik rakendusele spetsiaalselt koostatud taotlusi. Värskendus kõrvaldab nõrkuse, parandades, kuidas .NET raamistik veebirakendus veebitaotlusi töötleb.

Lisateavet nõrkuste kohta leiate järgmistest levinumatest nõrkustest ja säritustest (CVE).

Teadaolevad probleemid selle värskenduse teatud osades

Sümptom

Seda värskendust ei installita ja see tagastab kas järgmise tõrketeate või mõlemad.

  • -2146762495

  • Nõutav sert ei kehti kehtiva süsteemikella või allkirjastatud faili ajatempli kontrollimisel selle kehtivusperioodi jooksul.

Ajutine lahendus

Üksikasjalikumat teavet leiate üksiktoote versiooni .NET raamistik artiklist.  

Lisateave selle värskenduse kohta

Järgmised artiklid sisaldavad lisateavet selle värskenduse kohta, mis on seotud üksikute tooteversioonide kohta.

  • 4552964 Ainult turbevärskendus Windows Server 2008 SP2 .NET raamistik 2.0, 3.0 jaoks (KB4552964)

  • 4552952 Ainult turbevärskendus windows 7 SP1 ja Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2 .NET raamistik 4.5.2 jaoks (KB4552952)

  • 4552951 Ainult turbevärskendus .NET raamistik 4.6 jaoks Windows 7 SP1 ja Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2 jaoks (KB4552951)

Teave kaitse ja turvalisuse kohta

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus