2024년 7월 9일- Windows Server 2008 SP2(KB5041027)의 .NET Framework 2.0, 3.0, 3.5 SP1, 4.6.2용 보안 전용 업데이트

호환성이 손상되는 변경 세부 정보

2024년 7월에 릴리스된 .NET Framework 서비스 업데이트 보안 및 품질 롤업 - .NET Framework에는 CVE 2024-38081에 자세히 설명된 권한 상승 취약성을 해결한 보안 수정이 포함되어 있습니다. 이 버그 수정은 System.IO.Path.GetTempPath 메서드 반환 값을 변경했습니다. Windows 버전이 GetTempPath2 Win32 API를 노출하는 경우 이 메서드는 해당 API를 호출하고 확인된 경로를 반환합니다. 환경 변수를 사용하여 반환 값을 제어하는 방법을 포함하여 이 해결 방법을 수행하는 방법에 대한 자세한 내용은 GetTempPath2 설명서의 설명 섹션을 참조하세요. GetTempPath2 API는 모든 버전의 Windows에서 사용하지 못할 수 있습니다.

자세한 내용은 System.IO.Path.GetTempPath API를 참조하세요.

임시 해결 방법

⚠️ 경고: 옵트아웃은 CVE 2024-38081에 자세히 설명된 권한 상승 취약성에 대한 보안 수정을 비활성화합니다. 옵트아웃은 소프트웨어가 안전한 환경에서 실행되고 있다고 확신하는 경우 임시 해결 방법으로만 사용됩니다. Microsoft는 이 임시 해결 방법을 적용하지 않는 것을 권장합니다.

• 옵션#1: 환경 변수를 설정하여 명령 창에서 옵트아웃

  • COMPlus_Disable_GetTempPath2=true

• Opiton#2: 시스템 전체 환경 변수를 만들고 다시 부팅하여 모든 프로세스가 변경 사항을 준수하도록 하여 컴퓨터에서 전역적으로 옵트아웃합니다.​​​​​​​​​​​​​​

  • 시스템 전체 환경 변수는 cmd 창에서 "sysdm.cpl"를 실행 한 다음 "고급 -> 환경 변수 -> 시스템 변수 -> 새로 만들기"로 이동하여 설정할 수 있습니다. 

해결 방법

API 동작 변경은 권한 승격 취약성을 해결하기 위해 설계되었습니다. 영향을 받는 모든 소프트웨어 또는 애플리케이션은 이 새로운 디자인 변경에 적응하기 위해 코드를 변경할 것으로 예상됩니다.

출시 채널

사용 가능

이후 수행할 단계

Windows 업데이트 및 Microsoft 업데이트

아니요

아래의 기타 옵션을 참조하세요.

Microsoft Update 카탈로그

예

이 업데이트의 독립 실행형 패키지를 받으려면 Microsoft 업데이트 카탈로그 웹 사이트를 방문하세요.

WSUS(Windows Server Update Services)

예

이 운영 체제 업데이트는 해당되는 경우 개별 .NET Framework 제품 업데이트가 설치됩니다. 개별 .NET Framework 제품 업데이트에 대한 자세한 내용은 이 업데이트 섹션에 대한 추가 정보 섹션을 참조하세요.

이 업데이트는 다음과 같이 구성할 경우 WSUS를 통해 자동으로 동기화됩니다.

제품: Windows Server 2008 서비스 2

분류: 보안 업데이트