סיכום
עדכון האבטחה עבור Microsoft .NET Framework פותר פגיעות עקיפת תכונת אבטחה שבה .NET Framework (ו- .NET Core) אל רכיבי לגמרי לאמת אישורים. לקבלת מידע נוסף על הפגיעות, עיין פגיעויות נפוצות של Microsoft ואחת מהן חשיפה CVE-2017-0248.
עדכון זה כולל גם תיקונים שיפור אבטחה על יכולתו של הרכיב Windows מצגת Framework PackageDigitalSignatureManager לחתום על חבילות באמצעות אלגוריתם ה-hash של SHA256.
חשוב
-
אם התקנת ערכת שפה לאחר שתתקין עדכון זה, עליך להתקין מחדש עדכון זה. לכן, אנו ממליצים לך להתקין בכל שפה ערכות הדרוש לך לפני התקנת עדכון זה. לקבלת מידע נוסף, ראה הוספת ערכות שפה ל- Windows.
מידע נוסף אודות עדכון אבטחה זה
אזהרה
שינוי שגוי של הרישום באמצעות עורך הרישום או בשיטה אחרת, עלול לגרום לבעיות חמורות. בעיות אלה עלולות לחייב התקנה מחדש של מערכת ההפעלה. Microsoft אינה יכולה להבטיח כי ניתן יהיה לפתור בעיות אלה. שינוי הרישום הוא באחריותך הבלעדית.
-
שימוש במפתח משופר (EKU) הוא כמתואר ב- RFC 5280 במקטע 4.2.1.12: הרחבה זו מציינת אחת או יותר למטרות עבור שבו המפתח מוסמך ציבורית עשוי לשמש, בנוסף או במקום למטרות בסיסיים שאינם נמצאים שצוינו הרחבת שימוש במפתח. לדוגמה, אישור that's המשמש לאימות של לקוח לשרת להיות שתצורתה נקבעה עבור אימות לקוח. באופן דומה, אישור that's המשמש לאימות של שרת להיות שתצורתה נקבעה עבור אימות שרת.
כאשר נעשה שימוש באישורים לאימות, ה-authenticator בוחן את הלקוח האישור ואת בחיפושים מזהה האובייקט הנכון מטרה בהרחבות מדיניות יישומים. לדוגמה, מזהה האובייקט עבור אימות לקוח הוא 1.3.6.1.5.5.7.3.2. כאשר נעשה שימוש באישור עבור אימות לקוח, מזהה אובייקט זה חייב להימצא בהרחבות EKU, של האישור או האימות נכשל. אישורים בעלי סיומת EKU לא להמשיך בביצוע אימות תקין.
אם אתה באופן זמני אין גישה כראוי reissued אישורים, באפשרותך לבחור להסכמת או להקטין האבטחה שינוי על-פני וכל פעולות המחשב כדי למנוע השפעות קישוריות. כדי לעשות זאת, ציין מפתח הרישום הבא מפתח הגדרות, בהתאם לגירסה של .NET Framework כיעד עבוריישום של היישום שלך .
שיטה 1: עדכון מפתח הרישום (זמין עבור כל הגירסאות)
הערה ערך רישום זה חייב להיות ערך DWORD.
באפשרותך גם הצטרפות על בסיס לפי-יישוםיישום . האפשרויות הבאות זמינות עבור ביטול שינוי זה כדי להפוך בטוח כי יישוםיישום תאימות נשמרת.
שיטה 2: השבת את המדיניות עבור יישומים נפרדים
הערה הערך Tהרישום שלו חייב להיות ערך DWORD. הערך החוקי היחיד הוא 0. כל האחרים ערך הוא התייחסות.שיטה 3: שימוש ב- API תצורה (זמין עבור .NET Framework 4.6 וגירסאות מאוחרות יותר)
החל ב- 4.6 Framework של .NET, שניתן לשנות את התצורה ברמת היישום באמצעות קוד, תצורה של יישום או שינויים ברישום.
קביעת התצורה של הבורר ב
.NET Framework 4.6
הערה הבא דוגמאות להשבית תכונת האבטחה.
הערה כברירת מחדל, Switch.System.Net.DontCheckCertificateEKUsName = True עבור כל .NET Framework 4. x יישומים שאינם נמצאים פועל .NET Framework 4.6 וגירסאות מתקדמות יותר.
-
עבור תהליך של 32 סיביות, מערכת של 32 סיביות והן תהליך 64 סיביות במערכות של 64 סיביות:
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0
-
עבור תהליך 32 סיביות במערכת של 64 סיביות:
HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0
-
עבור תהליך של 32 סיביות, מערכת של 32 סיביות והן תהליך 64 סיביות במערכת של 64 סיביות:
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
C:\MyApp\MyApp.exe=0 -
עבור תהליך 32 סיביות במערכת של 64 סיביות:
HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
C:\MyApp\MyApp.exe=0 -
Programmatically
הדבר הראשון היישום עליך לעשות הוא כדי להפעיל את הקוד הבא. הסיבה לכך היא מנהל נקודת שירות לאתחלs פעם אחת בלבד.
private const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching"; private const string DontCheckCertificateEKUsName= @"Switch.System.Net.DontCheckCertificateEKUs"; AppContext.SetSwitch(DisableCachingName, true); AppContext.SetSwitch(DontCheckCertificateEKUsName, true); -
Application configuration
כדי לשנות את תצורת היישום, הוסף את הערך הבא:
<runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontCheckCertificateEKUsName=true"/> </runtime> -
מפתח הרישום (מחשב הכללית):
Registry location: HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Microsoft\.NETFramework\AppContext\Switch.System.Net.DontCheckCertificateEKUsName
סוג: מחרוזת
ערך: "true" -
לקבלת מידע נוסף אודות אבטחה זה עדכון בכל הקשור ל- Windows Server 2012, עיין במאמר הבא מתוך מאגר הידע Microsoft Knowledge Base:
עדכון אבטחה בלבד עבור .NET Framework 3.5 Service Pack 1 4019110 , 4.5.2, 4.6, 4.6.1 ו- 4.6.2 עדכונים עבור Windows Server 2012: 9 במאי, 2017
כיצד להשיג ולהתקין את העדכון
שיטה 1: קטלוג Microsoft Update
כדי לקבל את החבילה העצמאית עבור עדכון זה, עבור אל Microsoft Update קטלוג.
שיטה 2: Windows Software Update Services (WSUS)
בשרת WSUS, בצע את הפעולות הבאות:
-
לחץ על התחל, לחץ על כלי ניהולולאחר מכן לחץ על Microsoft Windows Server Update Services 3.0.
-
הרחב את שם המחשבולאחר מכן לחץ על הפעולה.
-
לחץ על ייבוא עדכונים.
-
WSUS יפתח חלון דפדפן שבה ייתכן שתתבקש להתקין פקד ActiveX. עליך להתקין את פקד ה-ActiveX כדי להמשיך.
-
לאחר התקנת הפקד, תראה מסך קטלוג העדכון . הזן 4019110 בתיבת החיפוש ולאחר מכן לחץ על חיפוש.
-
אתר את החבילות .NET Framework התואמות את מערכות ההפעלה, לשפות ולתהליכים בסביבה שלך. לחץ על הוסף כדי להוסיף אותם לסל שלך.
-
לאחר שבחרת את החבילות שעליך, לחץ על הצג הסל.
-
לחץ על ' ייבוא ' כדי לייבא את החבילות לשרת WSUS.
-
לחץ על סגור לאחר שהחבילות יובאו כדי לחזור ל- WSUS.
כעת העדכונים זמינים להתקנה באמצעות WSUS.
מידע על פריסת עדכון
לקבלת פרטי פריסה עבור עדכון אבטחה זה, עיין במאמר הבא מתוך מאגר הידע Microsoft Knowledge Base:
מידע על פריסת עדכון האבטחה 20170509 : 9 במאי, 2017
מידע על הסרת העדכון
הערה לא מומלץ להסיר את עדכון אבטחה כלשהו.
כדי להסיר עדכון זה, השתמש בפריט תוכניות ותכונות בלוח הבקרה.
מידע על הפעלה מחדש עדכון
עדכון זה אינו מחייב הפעלה מחדש של המערכת לאחר החלת אותו אלא אם הקבצים המעודכנים נעולים או נמצאים בשימוש.
מידע על החלפת עדכונים
עדכון זה אינו מחליף כל עדכון שפורסם בעבר.
פרטי קובץ
|
שם החבילה |
קוד Hash של חבילת SHA 1 |
קוד Hash של חבילת SHA 2 |
|---|---|---|
|
Windows8-RT-KB4014586-x64.msu |
92EF5AE9A05E1287A10061E5610B9EC756EB2B94 |
7191CF1437F016BF4B422C34B7660BB978713EE0B0A932AEE4A0BBF9DC3CCAE7 |
הגירסה האנגלית (ארה ב) של תיקון חם זה מתקינה קבצים הכוללים את התכונות המפורטות בטבלאות הבאות. התאריכים והשעות המתייחסים לקבצים הללו רשומים לפי זמן אוניברסלי מתואם (UTC). התאריכים והשעות עבור קבצים אלה במחשב המקומי שלך מוצגים בזמן המקומי, עם הפרש שעון הקיץ (DST) הנוכחי שלך. בנוסף, התאריכים והשעות עשויים להשתנות בעת ביצוע פעולות מסוימות על הקבצים.
עבור כל מערכות מבוססות-x64
|
שם קובץ |
גירסת קובץ |
גודל קובץ |
תאריך |
שעה |
|---|---|---|---|---|
|
PenIMC.dll |
4.6.1647.0 |
97,432 |
29-Mar-2017 |
00:25 |
|
PenIMC.dll |
4.6.1647.0 |
81,560 |
29-Mar-2017 |
00:12 |
|
PresentationCore.dll |
4.6.1647.0 |
3,504,320 |
29-Mar-2017 |
00:25 |
|
PresentationCore.dll |
4.6.1647.0 |
3,521,880 |
29-Mar-2017 |
00:12 |
|
PresentationFramework.dll |
4.6.1647.0 |
6,190,960 |
29-Mar-2017 |
00:12 |
|
PresentationHost_v0400.dll |
4.6.1647.0 |
254,680 |
29-Mar-2017 |
00:25 |
|
PresentationHost_v0400.dll |
4.6.1647.0 |
197,848 |
29-Mar-2017 |
00:12 |
|
PresentationNative_v0400.dll |
4.6.1647.0 |
1,107,680 |
29-Mar-2017 |
00:25 |
|
PresentationNative_v0400.dll |
4.6.1647.0 |
826,592 |
29-Mar-2017 |
00:12 |
|
System.Core.dll |
4.6.1647.0 |
1,349,280 |
29-Mar-2017 |
00:12 |
|
System.dll |
4.6.1647.0 |
3,506,824 |
29-Mar-2017 |
00:12 |
|
System.Windows.Controls.Ribbon.dll |
4.6.1647.0 |
742,808 |
29-Mar-2017 |
00:12 |
|
System.Xaml.dll |
4.6.1647.0 |
631,456 |
29-Mar-2017 |
00:12 |
|
WindowsBase.dll |
4.6.1647.0 |
1,277,768 |
29-Mar-2017 |
00:12 |
|
WPFFontCache_v0400.exe |
4.6.1647.0 |
26,744 |
29-Mar-2017 |
02:09 |
|
WPFFontCache_v0400.exe |
4.6.1647.0 |
25,720 |
29-Mar-2017 |
00:12 |
|
wpfgfx_v0400.dll |
4.6.1647.0 |
2,262,712 |
29-Mar-2017 |
00:25 |
|
wpfgfx_v0400.dll |
4.6.1647.0 |
1,759,920 |
29-Mar-2017 |
00:12 |
|
VsVersion.dll |
14.6.1647.0 |
19,104 |
29-Mar-2017 |
00:25 |
|
VsVersion.dll |
14.6.1647.0 |
19,112 |
29-Mar-2017 |
00:12 |
כיצד להשיג עזרה ותמיכה עבור עדכון אבטחה זה
-
עזרה עבור התקנת עדכונים: שאלות נפוצות של Windows Update
-
פתרונות אבטחה עבור מומחי IT: תמיכה האבטחה TechNet ופתרון בעיות
-
עזרה עבור הגנה על מבוססת Windows המוצרים והשירותים שלך מפני וירוסים ותוכנות זדוניות: Microsoft מאובטח
-
תמיכה מקומית בהתאם למדינה שלך: תמיכה בינלאומית
חל על
מאמר זה חל על הבאות:
-
Microsoft .NET Framework 4.6.2 בעת שימוש עם:
-
Windows Server 2012
-
