Applies To.NET

Revidirano 28. kolovoza 2024.: Ažurirajte pojedinosti o prekidima promjena u poznati odjeljak o problemu.

Revidirano 30. srpnja 2024.: Dodajte informacije o prekidima promjena u poznati odjeljak o problemu. 

Odnosi se na:

Microsoft .NET Framework 3.5 Microsoft .NET Framework 4.6.2 Microsoft .NET Framework 4.7 Microsoft .NET Framework 4.7.1 Microsoft .NET Framework 4.7.2 Microsoft .NET Framework 4.8

OPOMENA

  • Kao podsjetnik naprednim IT administratorima ažuriranja za .NET Framework 3.5 za Windows Server 2012 R2 trebala bi se primijeniti samo na sustave u kojima je .NET Framework 3.5 prisutan i omogućen. Korisnici koji pokušaju predinstalirati ažuriranja za .NET Framework 3.5 na izvanmrežne slike koje ne sadrže omogućen proizvod .NET Framework 3.5 te će sustave izložiti pogreškama da bi omogućili .NET Framework 3.5 nakon što se sustavi na mreži. Dodatne informacije o implementaciji platforme .NET Framework 3.5 potražite u članku Napomene o implementaciji platforme Microsoft .NET Framework 3.5.

  • Ako nakon instalacije ovog ažuriranja instalirate jezični paket, morate ponovno instalirati ovo ažuriranje. Stoga preporučujemo da prije instalacije ovog ažuriranja instalirate sve jezične pakete koji su vam potrebni. Dodatne informacije potražite u članku Dodavanje jezičnih paketa u Sustav Windows.

Sažetak

Sigurnosna poboljšanja

CVE-2024-38081 - .NET Framework Povećanje ranjivosti privilegija Ovo sigurnosno ažuriranje rješava ranjivost daljinskog izvršavanja koda detaljno opisanu u članku CVE-2024-38081.

Poboljšanja kvalitete i pouzdanosti

Popis poboljšanja objavljenih ovim ažuriranjem potražite u člancima veze u odjeljku Dodatne informacije ovog članka.

Poznati problemi u ovom ažuriranju

Pojedinosti o prekidu promjene

Ažuriranje servisa .NET Framework objavljeno u srpnju 2024. skupno ažuriranje sigurnosti i kvalitete – .NET Framework sadrži sigurnosni popravak riješen je ranjivošću povećanja ovlasti detaljnom u članku CVE 2024-38081. Rješenje je promijenilo vrijednost vraćanja metode System.IO.Path.GetTempPath. Ako verzija sustava Windows otkrije API GetTempPath2 Win32, ova metoda poziva taj API i vraća razriješeni put. Dodatne informacije o načinu na koji se ta razlučivost provodi potražite u odjeljku Napomene u dokumentaciji getTempPath2 , uključujući upravljanje vraćenom vrijednošću korištenjem varijabli okruženja. API GetTempPath2 možda nije dostupan u svim verzijama sustava Windows.

Vidljiva razlika između API-ja GetTempPath i GetTempPath2 Win32 jest to što vraćaju različite vrijednosti za sistemske procese i procese koji nisu SISTEMSKI. Prilikom pozivanja ove funkcije iz procesa koji se izvodi kao SUSTAV vratit će put %WINDIR%\SystemTemp, koji nije dostupan procesima koji nisu SISTEMSKI. Ovu povratnu vrijednost za sistemske procese ne mogu nadjačati varijable okruženja. Za procese koji nisu sistemski, GetTempPath2 ponašat će se isto kao GetTempPath, poštujući iste varijable okruženja da bi nadjačao povratnu vrijednost.

U nekim scenarijima možda je moguće preusmjeriti mapu Temp u drugu mapu pomoću varijabli okruženja ili drugih načina. U službenoj dokumentaciji API-ja GetTempPath2 Win32 potražite najažurnije informacije o tom ponašanju.

Dodatne informacije potražite u API-ju System.IO.Path.GetTempPath.

Privremeno zaobilazno rješenje

⚠️ Upozorenje: odustajanje će onemogućiti sigurnosno rješenje za povećanje ranjivosti privilegija detaljno u cve 2024-38081. Odustajanje je samo za privremeno zaobilazno rješenje ako ste sigurni da je softver pokrenut u sigurnim okruženjima. Microsoft ne preporučuje primjenu ovog privremenog zaobilaznog rješenja.

  • Mogućnost#1: Odustajanje u prozoru naredbi postavljanjem varijable okruženja

    • COMPlus_Disable_GetTempPath2=true

  • Opiton#2: Globalno se isključite na računalu stvaranjem varijable okruženja na razini sustava i ponovnog pokretanja kako bi se osiguralo da svi procesi promatraju promjenu.​​​​​​​​​​​​​​

    • Varijable okruženja na razini sustava mogu se postaviti pokretanjem "sysdm.cpl" iz cmd prozora, a zatim navigacijom do "Advanced -> Environment variables -> System variables -> New". 

Rješenje

Promjena ponašanja API-ja dizajnirana je radi rješavanja ranjivosti povećanja ovlasti. Od bilo kojeg zahvaćenog softvera ili aplikacije očekuje se promjena koda radi prilagodbe novoj promjeni dizajna.

Dodatne informacije o ovom ažuriranju

Sljedeći članci sadrže dodatne informacije o ovom ažuriranju jer se odnosi na pojedinačne verzije proizvoda.

  • 5039910 Opis skupnog ažuriranja sigurnosti i kvalitete za .NET Framework 3.5 za Windows Server 2012 R2 (KB5039910)

  • 5039881 Opis skupnog ažuriranja sigurnosti i kvalitete za .NET Framework 4.6.2, 4.7, 4.7.1, 4.7.2 za Windows Server 2012 R2 (KB5039881)

  • 5039890 Opis skupnog ažuriranja sigurnosti i kvalitete za .NET Framework 4.8 za Windows Server 2012 R2 (KB5039890)

Kako nabaviti ovo ažuriranje

Kanal izdanja

Dostupan

Sljedeći korak

Windows Update i Microsoft Update

Da

Nijedan. Ovo će se ažuriranje automatski preuzeti i instalirati putem servisa Windows Update.

Katalog Microsoft Update

Da

Da biste nabavili samostalni paket za ovo ažuriranje, idite na web-mjesto Katalog Microsoft Update .

Windows Server Update Services (WSUS)

Da

Ovo ažuriranje operacijskog sustava ponudit će, prema potrebi, i instalirati pojedinačna ažuriranja proizvoda .NET Framework. Dodatne informacije o pojedinačnim ažuriranjima proizvoda za .NET Framework potražite u odjeljku s dodatnim informacijama o ovom ažuriranju .

Ovo će se ažuriranje automatski sinkronizirati s WSUS-om ako konfigurirate na sljedeći način:

Proizvod: Windows Server 2012 R2

Klasifikacija: sigurnosna ažuriranja

Kako dobiti pomoć i podršku za ovo ažuriranje

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost