13 octobre 2020-KB4578974 Mise à jour cumulative pour .NET Framework 3.5 et 4.8 pour Windows 10, version 1903, Windows Server, version 1903, Windows 10, version 1909 et Windows Server, version 1909

S’applique à
.NET

Remarque

  • Date de publication :
    13 octobre 2020
  • Version:
    .NET Framework 3.5 et 4.8

Résumé

Il existe une vulnérabilité de divulgation d’informations quand .NET Framework traite de manière incorrecte les objets en mémoire. Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait divulguer le contenu de la mémoire d’un système affecté. Pour exploiter cette vulnérabilité, un attaquant authentifié devrait exécuter une application spécialement conçue. Cette mise à jour corrige la vulnérabilité en modifiant la façon dont .NET Framework traite les objets en mémoire.

Pour en savoir plus sur cette vulnérabilité, consultez la page CVE (Common Vulnerabilities and Exposures) suivante :

Problèmes connus dans cette mise à jour

ASP.Net applications échouent lors de la précompilation avec un message d’erreur

Symptômes
Après avoir appliqué ce correctif cumulatif de sécurité et de qualité du 13 octobre 2020 pour .NET Framework 4.8, certaines applications ASP.Net échouent pendant la précompilation. Le message d’erreur que vous recevez contient probablement les mots « Erreur ASPCONFIG ».

Cause
État de configuration non valide dans les sections « sessionState », « anonymouseIdentification » ou « authentication/forms » de la configuration « System.web ». Cela peut se produire pendant les routines de génération et de publication si les transformations de configuration laissent le fichier Web.config dans un état intermédiaire pour la précompilation.

Solution de contournement

Ce problème a été résolu dans KB4601056.

ASP.Net applications ne peuvent pas fournir de jetons sans cookie dans l’URI

Symptômes
Après avoir appliqué ce correctif cumulatif de sécurité et de qualité du 1er octobre 2020 pour .NET Framework 4.8, certaines applications ASP.Net peuvent ne pas fournir de jetons sans cookie dans l’URI, ce qui peut entraîner des boucles de redirection 302 ou perdre ou manquer l’état de session.

Cause
Les fonctionnalités ASP.Net pour l’état de session, l’identification anonyme et l’authentification par formulaire s’appuient toutes sur l’émission de jetons à un client web, et elles permettent toutes que ces jetons soient remis dans un cookie ou incorporés dans l’URI pour les clients qui ne prennent pas en charge les cookies. L’incorporation d’URI est depuis longtemps une pratique non sécurisée et déconseillée, et cette base de connaissances désactive silencieusement l’émission de jetons dans les URI, sauf si l’une de ces trois fonctionnalités demande explicitement un mode cookie « UseUri » dans la configuration. Les configurations qui spécifient « AutoDetect » ou « UseDeviceProfile » peuvent entraîner par inadvertance une tentative ou un échec de l’incorporation de ces jetons dans l’URI.

Solution de contournement

Ce problème a été résolu dans KB4601056.

Comment obtenir cette mise à jour

Installer cette mise à jour

Canal de publication Disponible Étape suivante
Windows Update et Microsoft Update Oui Aucune. Cette mise à jour sera téléchargée et installée automatiquement à partir de Windows Update.
Microsoft Update Catalog Oui Pour obtenir le package autonome pour cette mise à jour, accédez au site web Catalogue Microsoft Update.
Windows Server Update Services (WSUS) Oui Cette mise à jour sera automatiquement synchronisée avec WSUS si vous configurez Produits et classifications comme suit :
Produit : Windows 10, version 1903, Windows Server, version 1903, Windows 10, version 1909 et Windows Server, version 1909
Classification : Mises à jour de sécurité

Informations de fichier

Pour obtenir une liste des fichiers fournis dans cette mise à jour, téléchargez les informations de fichier relatives à la mise à jour cumulative.

Informations sur la protection et la sécurité