שגיאות "Access נדחתה" ויישומים עם הפעלת COM להיכשל לאחר התקנת יולי 2018 עדכוני האבטחה ואת איכות הסיכום עבור .NET Framework

מבוא

יישומים אשר מסתמכים על .NET Framework כדי לאתחל את רכיב ה-COM והפועלים עם הרשאות מוגבלות עלולה להיכשל לפעול או פועל כהלכה לאחר התקנת 2018 ביולי עדכוני האבטחה ואת איכות הסיכום עבור .NET Framework.

זמן ריצה של Microsoft .NET Framework משתמש רכיב ה-token של תהליך כדי לקבוע אם התהליך פועל במסגרת הקשר עם הרשאות מלאות. קריאות מערכת אלה עלול להיכשל אם ההרשאות נדרש תהליך הבדיקה אינן קיימות. פעולה זו גורמת שגיאה 'הגישה נדחתה'.

תופעות

לאחר התקנת כל עדכוני האבטחה של יולי 2018 .NET Framework, רכיב ה-COM אינו נטען בהצלחה עקב "הגישה נדחתה," "המחלקה אינה רשומה," או "אירע כשל פנימי מסיבות לא ידועות" שגיאות. החתימה כשל הנפוץ ביותר הוא:

Exception type: System.UnauthorizedAccessException

Message: Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED))

SharePoint

• כאשר המשתמשים גולשים לאתר SharePoint, ייתכן שתראה את ההודעה הבאה של HTTP 403: "אתר האינטרנט לא התיר הצגה של דף אינטרנט זה" HTTP 403.

• יומני הרישום של ULS SharePoint יכיל הודעות כמו הפסוקית הבאה:

w3wp.exe (0x1894)         0x0B94  SharePoint Foundation  General 0000       High                UnauthorizedAccessException for the request. 403 Forbidden will be returned. Error=An error occurred creating the configuration section handler for system.serviceModel/extensions: Could not load file or assembly <AssemblySignature>  or one of its dependencies. Access is denied. (C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Config\machine.config line 180)  

 w3wp.exe (0x1894)         0x0B94  SharePoint Foundation  General b6p2      VerboseEx                Sending HTTP response 403:403 FORBIDDEN.    

w3wp.exe (0x1894)         0x0B94  SharePoint Foundation  General 8nca       Verbose                Application error when access /, Error=Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED))      

• בעת סריקה של מקור תוכן של אנשים, הבקשה עלולה להיכשל לבין הערך הבא ביומן ULS SharePoint:

mssearch.exe (0x118C) 0x203C SharePoint Server Search Crawler:Gatherer Plugin cd11 Warning The start address sps3s://<URLtoSite> cannot be crawled.  Context: Application 'Search_Service_Application', Catalog 'Portal_Content'  Details:  Class not registered   (0x80040154)

כאשר השגיאה מתרחשת, הודעה הדומה להודעה הבאה נרשמת ביומני סריקה של SharePoint:

sps3s://<URLtoSite>  A component required for crawling this type of content is not registered with this application server. View the event logs for more information. (SearchID = XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX)

מסוף הניהול של BizTalk Server

• מסוף הניהול של BizTalk Server נכשל בהפעלה כראוי ומחזירה את השגיאות הבאות:

An internal failure occurred for unknown reasons. (WinMgmt)

Program Location:

   at System.Runtime.InteropServices.Marshal.ThrowExceptionForHRInternal(Int32 errorCode, IntPtr errorInfo)

   at System.Management.ManagementObject.Get()

   at Microsoft.BizTalk.SnapIn.Framework.WmiProvider.SelectInstance

IIS עם ASP קלאסי

• המתארחים קוד ASP קלאסי מתקשר CreateObject עבור אובייקטי .NET COM עשויה ליצור הודעת שגיאה הדומה להודעה הבאה: ActiveX component can't create object

יישום .NET שמשתמש התחזות

• יישום של .NET היוצרת מופע של יישום .NET COM בתוך הקשר התחזות עשויה ליצור הודעת שגיאה הדומה לנוסח הבא: 0x80040154 (REGDB_E_CLASSNOTREG)

פתרון

כדי לפתור בעיות אלה, החל באוגוסט 2018 האבטחה ואת אוספי איכות או אבטחה רק העדכונים ישים על מערכת ההפעלה שלך מותקן .NET Framework. לקבלת מידע נוסף, עבור אל CVE-2018-8356 | פגיעות של עקיפת תכונת אבטחה של .NET Framework.

פתרון

כדי לעקוף בעיה זו, נסה אחת מהשיטות הבאות.

הערהבהתאם היישום המושפע וקוד שלו, הדרכים הבאות לעקיפת הבעיה לא ייתכן אפקטיבי.

• אם יש לך ידע ברמת מתקדם אודות אופן ההפעלה של תהליכים, להפעיל את התהליך באמצעותPROCESS_QUERY_INFORMATIONהרשאה.

• IIS המתארחים קוד ASP קלאסי מתקשר CreateObject עבור אובייקטי .NET COM עשוי לקבל "רכיב ActiveX אין אפשרות ליצור אובייקט" שגיאה:

  • אם אתר האינטרנט שלך משתמש באימות אנונימי:

    • שנה את אישורי אימות אנונימי באתר האינטרנט לשימוש "זהות מאגר היישומים."

  • אם האתר שלך נעשה שימוש באימות בסיסי או אימות של Windows:

    • להיכנס ליישום פעם אחת כפי זהות מאגר היישומים ולאחר מכן ליצור מופע של רכיב ה-.NET COM.

    • לאחר מכן, יוכלו משתמשים אחרים באתר לרכיב .NET COM פעיל ללא הכשל.

  • לחלופין, אם אתה משתמש באימות של Windows, אתה ניגש לאתר האינטרנט מתוך המסוף של שרת Windows שבו פועל היישום ASP:

    • יצירת מופע של רכיב ה-.NET COM פותר גם שגיאה עבור משתמשים אחרים באתר.

• יישום של .NET היוצרת מופע של יישום .NET COM בתוך ההקשר התחזות עשויה ליצור הודעת שגיאה "0x80040154 (REGDB_E_CLASSNOTREG)" :

  • ליצור מופע של רכיב ה-.NET COM לפני שהקריאה הקשר התחזות.

    • התחזות מאוחר יותר ליצור מופע שיחות עבודה כצפוי.

  • הפעל את היישום .NET בהקשר של משתמש מתחזה.

  • הימנע משימוש התחזות בעת יצירת אובייקט .NET COM.

• אם בקרת חשבון המשתמש אינו זמין עבור המחשב, להפוך אותה שוב לזמינה.

• אם התהליך נכשל בטעינת Diasymreader.dll, הפעל את הפקודה הבאה עבור ההרכבה: ngen install <the failing assembly> לקבלת מידע נוסף אודות ngen, ראהNgen.exe (מחולל תמונה טבעית).

אזהרה:הדרכים הבאות לעקיפת הבעיה עלולה להפוך מחשב או הרשת לפגיעים יותר להתקפות של משתמשים זדוניים או של תוכנות זדוניות כגון וירוסים. איננו ממליצים דרכים אלה לעקיפת הבעיה. עם זאת, אנו מספקים מידע זה כך שתוכל ליישם את הדרכים לעקיפת הבעיה שיקול דעתך. השתמש דרכי באחריותך.

• הוסף ' שירות רשת ' לקבוצה Administrators המקומית.

מצב

Microsoft אישרה כי מדובר בבעיה במוצרי Microsoft הרשומים במקטע 'חל על'.