2020년 10월 13일-KB4578972 Windows 10 버전 1803의 .NET Framework 4.8용 누적 업데이트
Applies To
.NET출시 날짜:
2020년 10월 13일버전:
.NET Framework 4.8요약
보안 개선 사항
.NET Framework가 메모리의 개체를 부적절하게 처리하는 경우 정보 유출 취약성이 존재합니다. 이 취약성 악용에 성공한 공격자는 영향받는 시스템의 메모리 콘텐츠를 유출할 수 있습니다. 이 취약성을 악용하려면 인증된 공격자가 특수 제작된 응용 프로그램을 실행해야 합니다. 이 업데이트는 .NET Framework가 메모리에서 개체를 처리하는 방식을 수정하여 취약성을 해결합니다.
이 취약성에 대해 자세히 알아보려면 다음 CVE(Common Vulnerabilities and Exposures)를 참조하세요.
품질 및 안정성 개선 사항
WCF1 |
- 여러 서비스를 동시에 시작할 때 가끔 WCF 서비스가 시작되지 않는 문제를 해결했습니다. |
Winforms |
-.컨트롤에 대한 Control.AccessibleName, Control.AccessibleRole 및 Control.AccessibleDescription 속성이 작동을 멈춘 NET Framework 4.8에 도입된 회귀 문제를 해결했습니다. 해당 컨트롤은 다음과 같습니다. Label, GroupBox, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView. - 데이터 바인딩된 콤보 상자의 콤보 상자 항목에 대한 액세스 가능한 이름의 회귀 문제를 해결했습니다. .NET Framework 4.8은 DisplayMember 속성 값 대신 액세스 가능한 이름으로 형식 이름을 사용하기 시작했으며, DisplayMember를 다시 사용합니다. |
ASP.NET |
- ASP.Net 제어 출력에서 AppPath Modifier 재사용을 비활성화합니다. - ASP.Net 요청 컨텍스트의 HttpCookie 개체는`new HttpCookie (name)`의 동작과 일치하도록 .NET 스타일 최초 기본값 대신 쿠키 플래그에 대해 구성된 기본값으로 생성됩니다. |
SQL |
- 사용자가 하나의 Azure SQL 데이터베이스에 연결하고 Enclave 기반 작업을 수행한 다음 동일한 증명 URL이 있고 두 번째 서버에서 Enclave 작업을 수행한 동일한 서버의 다른 데이터베이스에 연결할 때 가끔 발생하는 오류를 해결했습니다. |
CLR2 |
-Thread.Start () 및 스레드 풀 스레드에 의해 생성된 새 스레드에 대해 CLR이 수행하는 자동 CPU 그룹 할당을 비활성화하기 위해 0으로 설정할 수있는 CLR 구성 변수 Thread_AssignCpuGroups (기본적으로 1)가 추가되었으며, 그렇게 함으로써 앱이 자체 스레드 확산을 수행할 수 있습니다. - 새로운 Span 유형에서 자주 사용되는 Unsafe.Byte Offset<T>와 같은 새로운 API를 사용할 때 발생할 수 있는 드문 데이터 손상을 해결했습니다. 스레드가 루프 내부에서 Unsafe.ByteOffset<T>를 호출하는 동안 GC 작업을 수행하면 손상이 발생할 수 있습니다. - AppContext 스위치 "Switch.System.Threading.UseNetCoreTimer"가 활성화되었을 때 기한 시간이 매우 긴 타이머가 예상보다 훨씬 빠르게 째깍이며 줄어드는 문제를 해결했습니다. |
1 WCF(Windows Communication Foundation) 2CLR(공용 언어 런타임)
이 업데이트에서 알려진 문제
ASP.Net 애플리케이션이 미리 컴파일 중에 오류 메시지와 함께 실패합니다.
증상
이 2020년 10월 13일 .NET Framework 4.8용 보안 및 품질 롤업을 적용한 후 일부 ASP.Net 애플리케이션은 미리 컴파일 중에 실패합니다. 수신되는 오류 메시지에는 “Error ASPCONFIG”라는 단어가 포함될 겁니다. 원인 “System.web” 구성의 “sessionState,” “anonymouseIdentification” 또는 “인증/양식” 섹션에 잘못된 구성 상태가 있습니다. 구성 변환이 Web.config 파일을 미리 컴파일을 위한 중간 상태로 남겨두면 이런 상황이 빌드 및 게시 루틴 중에 발생할 수 있습니다. 해결 과정 예기치 않은 새로운 오류 또는 기능 문제를 발견한 고객은 다음 코드를 응용 프로그램 구성 파일에 추가(또는 병합)하여 응용 프로그램 설정을 실행할 수 있습니다. “true” 또는 “false”로 설정하면 문제가 발생하지 않습니다. 그러나 쿠키를 사용하지 않는 기능에 의존하지 않는 사이트의 경우 이 값을 “true”로 설정하는 것이 좋습니다.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key=”aspnet:DisableAppPathModifier” value=”true” />
</appSettings>
</configuration>
ASP.Net 애플리케이션이 URI에서 쿠키를 사용하지 않는 토큰을 제공하지 않을 수 있습니다.
증상
.NET Framework 4.8용 2020년 10월 1일 보안 및 품질 롤업을 적용한 후 일부 ASP.Net 애플리케이션이 URI에서 쿠키를 사용하지 않는 토큰을 제공하지 않아 302 리디렉션 루프 또는 세션 상태 손실 또는 누락이 일어날 수 있습니다. 원인 세션 상태, 익명 확인 및 폼 인증을 위한 ASP.Net 기능은 모두 웹 클라이언트에 토큰을 발급하는 데 의존하며, 해당 토큰을 쿠키로 전달하거나 쿠키를 지원하지 않는 클라이언트의 경우 URI에 포함할 수 있는 옵션을 모두 허용합니다. URI 포함은 오랫동안 안전하지 않고 권장되지 않는 관행이었으며 이 세 가지 기능 중 하나가 구성에서 “UseUri”의 쿠키 모드를 명시적으로 요청하지 않는 한 이 KB는 URI에서의 토큰 발행을 조용히 비활성화합니다. “AutoDetect” 또는 “UseDeviceProfile”을 지정하는 구성으로 인해 자칫 URI에 이러한 토큰을 포함하려고 시도하거나 실패할 수 있습니다.해결 방법
새로운 예상치 못한 동작을 관찰한 고객은 가능하면 세 가지 쿠키를 사용하지 않는 설정을 모두 “UseCookies”로 변경하는 것이 좋습니다.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.web>
<anonymousidentification cookieless="UseCookies" />
<sessionState cookieless="UseCookies" />
<authentication>
<forms cookieless="UseCookies" />
</authentication>
</system.web>
</configuation>
애플리케이션이 절대적으로 URI 포함 토큰을 계속 사용해야 하고 안전하게 사용할 수 있는 경우, 다음 appSetting을 사용하여 다시 활성화할 수 있습니다. 그러나 다시 말하지만, 이러한 토큰을 URI에 포함하는 일은 피하는 것이 좋습니다.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key="aspnet:DisableAppPathModifier" value="false" />
</appSettings>
</configuation>
이 업데이트를 받는 방법
이 업데이트 설치
출시 채널 |
사용 가능 |
이후 수행할 단계 |
Windows 업데이트 및 Microsoft 업데이트 |
예 |
없음. 이 업데이트는 Windows 업데이트에서 자동으로 다운로드되고 설치됩니다. |
Microsoft Update 카탈로그 |
예 |
이 업데이트의 독립 실행형 패키지를 얻으려면 Microsoft 업데이트 카탈로그 웹 사이트를 방문하세요. |
WSUS(Windows Server Update Services) |
예 |
이 업데이트는 제품 및 등급을 다음과 같이 구성할 경우 WSUS를 통해 자동으로 동기화됩니다. 제품: Windows 10 버전 1803 등급: 보안 업데이트 |
파일 정보
이 업데이트에서 제공되는 파일 목록을 보려면 누적 업데이트에 대한 파일 정보를 다운로드하세요.
보호 및 보안 관련 정보
-
온라인에서 스스로를 보호하는 방법: Windows 보안 지원
-
Microsoft에서 사이버 위협으로부터 사용자를 보호하는 방법 알아보기: Microsoft 보안