2020년 10월 13일-KB4578973 Windows 10, 버전 1809 및 Windows Server, 버전 2019의 .NET Framework 3.5 및 4.8용 누적 업데이트

Microsoft 365를 사용하여 어디에서나 모든 장치에서 작업 가능

Microsoft 365으로 업그레이드하여 최신 기능 및 업데이트를 통해 어디서나 작업하세요.

지금 업그레이드

출시 날짜:
2020년 10월 13일

버전:
.NET Framework 3.5 및 4.8

요약

.NET Framework가 메모리의 개체를 부적절하게 처리하는 경우 정보 유출 취약성이 존재합니다. 이 취약성 악용에 성공한 공격자는 영향받는 시스템의 메모리 콘텐츠를 유출할 수 있습니다. 이 취약성을 악용하려면 인증된 공격자가 특수 제작된 응용 프로그램을 실행해야 합니다. 이 업데이트는 .NET Framework가 메모리에서 개체를 처리하는 방식을 수정하여 취약성을 해결합니다.

이 취약성에 대해 자세히 알아보려면 다음 CVE(Common Vulnerabilities and Exposures)를 참조하세요.

이 업데이트에서 알려진 문제

ASP.Net 애플리케이션이 미리 컴파일 중에 오류 메시지와 함께 실패합니다.

증상
이 2020년 10월 13일 .NET Framework 4.8용 보안 및 품질 롤업을 적용한 후 일부 ASP.Net 애플리케이션은 미리 컴파일 중에 실패합니다. 수신되는 오류 메시지에는 “Error ASPCONFIG”라는 단어가 포함될 겁니다.

원인
“System.web” 구성의 “sessionState,” “anonymouseIdentification” 또는 “인증/양식” 섹션에 잘못된 구성 상태가 있습니다. 구성 변환이 Web.config 파일을 미리 컴파일을 위한 중간 상태로 남겨두면 이런 상황이 빌드 및 게시 루틴 중에 발생할 수 있습니다.

해결 과정
예기치 않은 새로운 오류 또는 기능 문제를 발견한 고객은 다음 코드를 응용 프로그램 구성 파일에 추가(또는 병합)하여 응용 프로그램 설정을 실행할 수 있습니다. “true” 또는 “false”로 설정하면 문제가 발생하지 않습니다. 그러나 쿠키를 사용하지 않는 기능에 의존하지 않는 사이트의 경우 이 값을 “true”로 설정하는 것이 좋습니다.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
      <appSettings>
          <add key=”aspnet:DisableAppPathModifier” value=”true” />
     </appSettings>
</configuration>

ASP.Net 애플리케이션이 URI에서 쿠키를 사용하지 않는 토큰을 제공하지 않을 수 있습니다.

증상
.NET Framework 4.8용 2020년 10월 1일 보안 및 품질 롤업을 적용한 후 일부 ASP.Net 애플리케이션이 URI에서 쿠키를 사용하지 않는 토큰을 제공하지 않아 302 리디렉션 루프 또는 세션 상태 손실 또는 누락이 일어날 수 있습니다.

원인
세션 상태, 익명 확인 및 폼 인증을 위한 ASP.Net 기능은 모두 웹 클라이언트에 토큰을 발급하는 데 의존하며, 해당 토큰을 쿠키로 전달하거나 쿠키를 지원하지 않는 클라이언트의 경우 URI에 포함할 수 있는 옵션을 모두 허용합니다. URI 포함은 오랫동안 안전하지 않고 권장되지 않는 관행이었으며 이 세 가지 기능 중 하나가 구성에서 “UseUri”의 쿠키 모드를 명시적으로 요청하지 않는 한 이 KB는 URI에서의 토큰 발행을 조용히 비활성화합니다. “AutoDetect” 또는 “UseDeviceProfile”을 지정하는 구성으로 인해 자칫 URI에 이러한 토큰을 포함하려고 시도하거나 실패할 수 있습니다.

해결 방법
새로운 예상치 못한 동작을 관찰한 고객은 가능하면 세 가지 쿠키를 사용하지 않는 설정을 모두 “UseCookies”로 변경하는 것이 좋습니다.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <system.web>
          <anonymousidentification cookieless="UseCookies" />
          <sessionState cookieless="UseCookies" />
          <authentication>
               <forms cookieless="UseCookies" />
          </authentication>
     </system.web>
</configuation>

애플리케이션이 절대적으로 URI 포함 토큰을 계속 사용해야 하고 안전하게 사용할 수 있는 경우, 다음 appSetting을 사용하여 다시 활성화할 수 있습니다. 그러나 다시 말하지만, 이러한 토큰을 URI에 포함하는 일은 피하는 것이 좋습니다.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <appSettings>
          <add key="aspnet:DisableAppPathModifier" value="false" />
     </appSettings>
</configuation>

 

이 업데이트를 받는 방법

이 업데이트 설치

출시 채널

사용 가능

이후 수행할 단계

Windows 업데이트 및 Microsoft 업데이트

없음. 이 업데이트는 Windows 업데이트에서 자동으로 다운로드되고 설치됩니다.

Microsoft Update 카탈로그

이 업데이트의 독립 실행형 패키지를 얻으려면 Microsoft 업데이트 카탈로그 웹 사이트를 방문하세요.

WSUS(Windows Server Update Services)

이 업데이트는 제품 및 등급을 다음과 같이 구성할 경우 WSUS를 통해 자동으로 동기화됩니다.

제품: Windows 10, 버전 1809 및 Windows Server, 버전 2019

등급: 보안 업데이트

파일 정보

이 업데이트에서 제공되는 파일 목록을 보려면 누적 업데이트에 대한 파일 정보를 다운로드하세요.

이 업데이트에 대한 추가 정보

다음 문서에는 개별 제품 버전과 관련된 이 업데이트에 대한 추가 정보가 나와 있습니다.

  • 4579976 ARM64용 Windows 10 버전 1809의 .NET Framework 3.5 및 4.7.2용 누적 업데이트에 대한 설명(KB4579976)

보호 및 보안 관련 정보

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

소중한 의견에 감사드립니다.

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×