2018年 7 月をインストールした後に「アクセスが拒否されました」エラーと COM のアクティブ化を使用してアプリケーションで失敗する.NET Framework のセキュリティおよび品質プログラムのロールアップ更新プログラム

適用対象: .NET Framework

はじめに


アプリケーションの COM コンポーネントを初期化するために.NET Framework に依存して、2018年 7 月をインストールした後に正常に実行を開始または制限されたアクセス許可で実行することがあります.NET Framework のセキュリティおよび品質プログラムのロールアップ更新プログラムです。

Microsoft.NET Framework ランタイムは、昇格した特権のコンテキスト内でプロセスが実行されているかどうかを決定するのにプロセス トークンを使用します。 検査プロセスの必要なアクセス許可が存在しない場合、これらのシステム コールが失敗します。 これと「アクセスが拒否されました」エラーが発生します。

現象


または、 2018年 7 月.NET Framework のセキュリティ更新プログラムのいずれかをインストールする COM コンポーネントは、"アクセス拒否"クラスが登録されていないため読み込みに失敗した、「不明な理由により内部エラーが発生しました」エラーします。 最も一般的なエラー署名は、次の。

Exception type: System.UnauthorizedAccessException

Message: Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED))

SharePoint

  • ユーザーは、SharePoint サイトを参照して、次の HTTP 403 メッセージ表示可能性があります: 「この web ページを表示する Web サイトを辞退しました」HTTP 403 です。
  • SharePoint ULS のログは、次のようなメッセージに含まれます。

w3wp.exe (0x1894)         0x0B94  SharePoint Foundation  General 0000       High                UnauthorizedAccessException for the request. 403 Forbidden will be returned. Error=An error occurred creating the configuration section handler for system.serviceModel/extensions: Could not load file or assembly <AssemblySignature>  or one of its dependencies. Access is denied. (C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Config\machine.config line 180)  

 w3wp.exe (0x1894)         0x0B94  SharePoint Foundation  General b6p2      VerboseEx                Sending HTTP response 403:403 FORBIDDEN.    

w3wp.exe (0x1894)         0x0B94  SharePoint Foundation  General 8nca       Verbose                Application error when access /, Error=Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED))      

  • [人] コンテンツ ソースをクロールするとき、要求は失敗し、SharePoint ULS のログに次のエントリをログに記録可能性があります。

mssearch.exe (0x118C) 0x203C SharePoint Server Search Crawler:Gatherer Plugin cd11 Warning The start address sps3s://<URLtoSite> cannot be crawled.  Context: Application 'Search_Service_Application', Catalog 'Portal_Content'  Details:  Class not registered   (0x80040154)

エラーが発生すると、SharePoint のクロール ログに次のようなメッセージが記録されます。

sps3s://<URLtoSite> A component required for crawling this type of content is not registered with this application server. View the event logs for more information. (SearchID = XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX)

BizTalk Server 管理コンソール

  • BizTalk Server 管理コンソールは、正常に起動に失敗し、次のエラーが返されます。

An internal failure occurred for unknown reasons. (WinMgmt)

Program Location:

   at System.Runtime.InteropServices.Marshal.ThrowExceptionForHRInternal(Int32 errorCode, IntPtr errorInfo)

   at System.Management.ManagementObject.Get()

   at Microsoft.BizTalk.SnapIn.Framework.WmiProvider.SelectInstance

従来の ASP と IIS

  • ホストされている従来の ASP .NET の COM オブジェクトのCreateObjectを呼び出し、次のようなエラー メッセージが生成されます。 ActiveX component can't create object

偽装を使用する .NET アプリケーション

  • 偽装コンテキスト内での .NET の COM アプリケーションのインスタンスを作成する .NET アプリケーション次のようなエラー メッセージを生成することがあります: 0x80040154 (REGDB_E_CLASSNOTREG)

解決方法


これらの問題を解決するには、 2018年のセキュリティと品質プログラムのロールアップ、またはセキュリティのみに 8 月更新プログラムを適用、オペレーティング システムと.NET Framework のインストールに適用します。詳細についてを参照してCVE-2018-8356.NET Framework セキュリティ機能バイパスの脆弱性です。

回避策


この問題を回避するには、次の方法のいずれかにしてみてください。

注: によって影響を受けるアプリケーションとそのコードでは、以下の回避策は、有効ではありません

  • プロセスを開始する方法に関する高度なレベルの知識があればを使用してプロセスを実行しますPROCESS_QUERY_INFORMATIONアクセス許可
  • IIS ホストされている従来の ASP .NET の COM オブジェクトが、「ActiveX コンポーネント オブジェクトを作成できません」を受け取るために、CreateObject を呼び出すエラー:
    • 場合は、web サイトは、匿名認証を使用します。
      • "アプリケーション プール id] を使用する Web サイトの匿名認証の資格情報を変更します。
    • 場合は、サイトでは、基本認証または Windows 認証を使用します。
      • アプリケーションのアプリケーション プールの id として 1 つの時刻にログインし、.NET の COM コンポーネントのインスタンスを作成します。
      • その後は、他のサイト ユーザーことが、問題なくアクティブな .NET の COM コンポーネントです。
    • または、Windows の認証を使用して、ASP アプリケーションを実行する Windows サーバーのコンソールから、web サイトにアクセスしている場合。
      • .NET の COM コンポーネントのインスタンスを作成すると、他のサイト ユーザーのエラーも解決されます。
  • 偽装コンテキスト内での .NET の COM アプリケーションのインスタンスを作成する .NET アプリケーションでは、 "0x80040154 (REGDB_E_CLASSNOTREG)"エラー メッセージを生成可能性があります。
    • 偽装コンテキストの呼び出しの前に .NET の COM コンポーネントのインスタンスを作成します。
      • 偽装された後でインスタンスの呼び出しの作業を正常に作成します。
    • 偽装ユーザーのコンテキストでは、.NET アプリケーションを実行します。
    • .NET の COM オブジェクトを作成するときに、偽装を使用しないでください。
  • コンピューターの UAC を無効にした場合は、再度有効にします。
  • プロセスは、Diasymreader.dll の読み込みに失敗した場合、アセンブリの次のコマンドを実行します。 ngen install <the failing assembly> 、Ngen の詳細については、以下を参照してください。Ngen.exe (ネイティブ イメージ ジェネレーター).

警告: :以下の回避策は、悪意のあるユーザーやウイルスなどの悪意のあるソフトウェアによる攻撃をコンピューターまたはネットワークの脆弱性が高くすることがあります。これらの回避策はお勧めできません。ただし、この情報を提供する独自の判断で回避策を実装することができますように私たちは。自己の責任においてこれらの回避策を使用します

  • ローカルの Administrators グループに「ネットワーク サービス」を追加します。

状態


マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。

 

適用対象

2018年 7 月.NET Framework のセキュリティ更新プログラム.NET Framework 3.5、4.0、4.5.2、4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2 およびすべての該当する場合、サポートされているバージョンの Windows