Introduction
Les applications qui s’appuient sur le.NET Framework pour initialiser un composant COM et qui s’exécutent avec des autorisations restreintes risquent de ne pas démarrer ou fonctionner correctement après l’installation de la 2018 juillet mises à jour de correctif cumulatif de qualité et de sécurité pour.NET Framework.
Microsoft.NET Framework runtime utilise le jeton du processus pour déterminer si le processus s’exécute dans un contexte élevé. Ces appels au système peuvent échouer si les autorisations de contrôle de processus requis ne sont pas présentes. Cela provoque une erreur « accès refusé ».
Symptômes
Une fois que vous pouvez installer les Mises à jour de sécurité de juillet 2018.NET Framework, un composant COM n’est pas chargé en raison de « accès refusé » « classe non enregistrée, » ou « erreur interne s’est produite pour une raison inconnue » erreurs. La signature de panne la plus courante est la suivante :
Exception type: System.UnauthorizedAccessException
Message: Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED))
SharePoint
-
Lorsque les utilisateurs accèdent à un site SharePoint, ils peuvent voir le message HTTP 403 suivant : « Du Site Web a refusé d’afficher cette page Web » HTTP 403.
-
Les journaux du service ULS de SharePoint contient les messages tels que les éléments suivants :
w3wp.exe (0x1894) 0x0B94 SharePoint Foundation General 0000 High UnauthorizedAccessException for the request. 403 Forbidden will be returned. Error=An error occurred creating the configuration section handler for system.serviceModel/extensions: Could not load file or assembly <AssemblySignature> or one of its dependencies. Access is denied. (C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Config\machine.config line 180)
w3wp.exe (0x1894) 0x0B94 SharePoint Foundation General b6p2 VerboseEx Sending HTTP response 403:403 FORBIDDEN.
w3wp.exe (0x1894) 0x0B94 SharePoint Foundation General 8nca Verbose Application error when access /, Error=Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED))
-
Lors de l’analyse d’une source de contenu personnes, la demande peut-être échouer et consigner l’entrée suivante dans le journal du service ULS SharePoint :
mssearch.exe (0x118C) 0x203C SharePoint Server Search Crawler:Gatherer Plugin cd11 Warning The start address sps3s://<URLtoSite> cannot be crawled. Context: Application 'Search_Service_Application', Catalog 'Portal_Content' Details: Class not registered (0x80040154)
Lorsque l’erreur se produit, un message semblable au suivant est enregistré dans les journaux d’analyse de SharePoint :
sps3s://<URLtoSite> A component required for crawling this type of content is not registered with this application server. View the event logs for more information. (SearchID = XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX)
Console d’Administration de BizTalk Server
-
Console Administration de BizTalk Server ne démarre pas correctement et renvoie les erreurs suivantes :
An internal failure occurred for unknown reasons. (WinMgmt)
Program Location:
at System.Runtime.InteropServices.Marshal.ThrowExceptionForHRInternal(Int32 errorCode, IntPtr errorInfo)
at System.Management.ManagementObject.Get()
at Microsoft.BizTalk.SnapIn.Framework.WmiProvider.SelectInstance
IIS et ASP classique
-
Un ASP classique hébergé appel CreateObject pour les objets COM de .NET peut générer un message d’erreur semblable au suivant : ActiveX component can't create object
Application .NET qui utilise l’emprunt d’identité
-
Une application .NET qui crée une instance d’une application .NET COM dans un contexte d’emprunt d’identité peut générer un message d’erreur semblable au suivant : 0x80040154 (REGDB_E_CLASSNOTREG)
Résolution
Pour résoudre ces problèmes, appliquez les août 2018 sécurité et correctifs cumulatifs de qualité ou la sécurité uniquement mises à jour applicables à votre système d’exploitation et le.NET Framework installé. Pour plus d’informations, consultez CVE-2018-8356 | vulnérabilité liée au contournement fonctionnalité de sécurité.NET Framework.
Solution de contournement
Pour contourner ce problème, essayez l’une des méthodes suivantes.
Remarque En fonction de l’application concernée et son code, les solutions de contournement suivantes ne peuvent pas être efficaces.
-
Si vous avez des connaissances de niveau avancé à propos de la façon dont les processus sont lancées, exécuter le processus à l’aide de laPROCESS_QUERY_INFORMATIONautorisation.
-
IIS hébergé ASP classique pour les objets COM .NET peuvent s’afficher une « les composant ActiveX ne peut pas créer l’objet », l’appel de CreateObject erreur :
-
Si votre site web utilise l’authentification anonyme :
-
Modifier les informations d’identification de l’authentification anonyme du Site Web pour utiliser le « identité du pool d’Application ».
-
-
Si votre site utilise l’authentification de base ou l’authentification Windows :
-
Connectez-vous à l’application une fois que l’identité du pool d’application, puis créer une instance du composant COM de .NET.
-
Après cela, les autres utilisateurs du site pourront composant active le modèle COM .NET sans l’échec.
-
-
Vous pouvez également, si vous utilisez l’authentification Windows et que vous accédez au site Web à partir de la console du serveur Windows sur lequel s’exécute l’application ASP :
-
Création d’une instance du composant COM .NET résout également les erreurs des autres utilisateurs du site.
-
-
-
Une application .NET qui crée une instance de l’application COM .NET dans un contexte d’emprunt d’identité peut générer un message d’erreur « 0 x 80040154 (REGDB_E_CLASSNOTREG) » :
-
Créez une instance du composant COM .NET avant l’appel du contexte d’emprunt d’identité.
-
Emprunt d’identité ultérieurement créer instance appelle travail comme prévu.
-
-
Exécutez l’Application .NET dans le contexte de l’utilisateur représenté.
-
Évitez d’utiliser l’emprunt d’identité lors de la création de l’objet COM de .NET.
-
-
Si le contrôle de compte utilisateur est désactivé pour l’ordinateur, activez-le à nouveau.
-
Si le processus ne parvient pas à charger Diasymreader.dll, exécutez la commande suivante pour l’assembly : ngen install <the failing assembly> Pour plus d’informations sur ngen, reportez-vous à la section.Ngen.exe (Native Image Generator).
Avertissement:Solutions de contournement suivantes peuvent rendre un ordinateur ou un réseau plus vulnérable aux attaques d’utilisateurs malintentionnés ou de logiciels malveillants comme les virus. Nous ne recommandons pas ces solutions de contournement. Toutefois, nous fournissons cette information afin que vous pouvez implémenter les solutions de contournement à votre convenance. Utilisez ces solutions de contournement à vos risques et périls.
-
Ajouter « SERVICE réseau » au groupe Administrateurs local.
Statut
Microsoft a confirmé l'existence de ce problème dans les produits Microsoft figurant dans la liste des produits concernés par cet article.
Produits concernés
Mises à jour de sécurité de juillet 2018.NET Frameworkpour .NET Framework 3.5, 4.0, point 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 ou 4.7.2 sur toutes les versions applicables et à la prise en charge de Windows