2020년 10월 13일 KB4578968 Windows 10 버전 2004, Windows Server, 버전 2004, Windows 10, 버전 20H2 및 Windows Server 버전 20H2에 대한 .NET Framework 3.5 및 4.8 누적 업데이트

적용 대상
.NET

참고

  • 출시된 날짜:
    2020년 10월 13일
  • 버전:
    .NET Framework 3.5 및 4.8

요약​​

.NET Framework가 메모리의 개체를 부적절하게 처리하는 경우 정보 유출 취약성이 존재합니다. 이 취약성 악용에 성공한 공격자는 영향받는 시스템의 메모리 콘텐츠를 유출할 수 있습니다. 이 취약성을 악용하려면 인증된 공격자가 특수 제작된 응용 프로그램을 실행해야 합니다. 이 업데이트는 .NET Framework가 메모리에서 개체를 처리하는 방식을 수정하여 취약성을 해결합니다.

이 취약성에 대해 자세히 알아보려면 다음 CVE(Common Vulnerabilities and Exposures)를 참조하세요.

이 업데이트의 알려진 문제

오류 메시지와 함께 미리 컴파일하는 동안 애플리케이션이 실패하는 ASP.Net

증상
2020년 10월 13일에 .NET Framework 4.8에 대한 보안 및 품질 롤업을 적용하면 일부 ASP.Net 애플리케이션이 사전 컴파일 중에 실패합니다. 수신하는 오류 메시지에는 "오류 ASPCONFIG"라는 단어가 포함될 수 있습니다.

원인
"sessionState", "anonymouseIdentification" 또는 "System.web" 구성의 "인증/양식" 섹션에서 잘못된 구성 상태입니다. 구성 변환이 사전 컴파일을 위해 Web.config 파일을 중간 상태로 두는 경우 빌드 및 게시 루틴 중에 발생할 수 있습니다.

해결 방법

이 문제는 KB4601050 해결되었습니다.

ASP.Net 애플리케이션은 URI에서 쿠키 없는 토큰을 제공하지 않을 수 있습니다.

증상
2020년 10월 1일에 .NET Framework 4.8에 대한 보안 및 품질 롤업을 적용한 후 일부 ASP.Net 애플리케이션은 URI에서 쿠키 없는 토큰을 제공하지 않을 수 있으며, 이로 인해 302 리디렉션 루프가 발생하거나 세션 상태가 손실되거나 누락될 수 있습니다.

원인
세션 상태, 익명 식별 및 양식 인증에 대한 ASP.Net 기능은 모두 웹 클라이언트에 토큰을 발급하는 데 의존하며, 이러한 토큰이 쿠키에 전달되거나 쿠키를 지원하지 않는 클라이언트의 URI에 포함되는 옵션을 모두 허용합니다. URI 포함은 오랫동안 안전하지 않고 커밋되지 않은 관행이었으며, 이 KB는 이러한 세 가지 기능 중 하나가 구성에서 "UseUri"의 쿠키 모드를 명시적으로 요청하지 않는 한 URI에서 토큰 발급을 조용히 사용하지 않도록 설정합니다. "AutoDetect" 또는 "UseDeviceProfile"을 지정하는 구성은 실수로 이러한 토큰을 URI에 포함하려고 시도하고 실패할 수 있습니다.

해결 방법

이 문제는 KB4601050 해결되었습니다.

이 업데이트를 받는 방법

이 업데이트 설치

릴리스 채널 사용 가능 다음 단계
Windows 업데이트 및 Microsoft 업데이트 없음. 이 업데이트는 Windows 업데이트에서 자동으로 다운로드되고 설치됩니다.
Microsoft 업데이트 카탈로그 이 업데이트의 독립 실행형 패키지를 얻으려면 Microsoft 업데이트 카탈로그 웹 사이트를 방문하세요.
WSUS(Windows Server Update Services) 이 업데이트는 제품 및 등급을 다음과 같이 구성할 경우 WSUS를 통해 자동으로 동기화됩니다.
제품: Windows 10 버전 2004, Windows Server 버전 2004, Windows 10 버전 20H2, Windows Server 버전 20H2
분류: 보안 업데이트

파일 정보

이 업데이트에서 제공되는 파일 목록을 보려면 누적 업데이트에 대한 파일 정보를 다운로드하세요.

보호 및 보안 관련 정보