13. oktober 2020-KB4578968 kumulativ oppdatering for .NET Framework 3.5 og 4.8 for Windows 10, versjon 2004, Windows Server, versjon 2004, Windows 10, versjon 20H2 og Windows Server, versjon 20H2

Gjelder for
.NET

Obs!

  • Utgivelsesdato:
    13. oktober 2020
  • Versjon:
    .NET Framework 3.5 og 4.8

Sammendrag

Det oppstår et sikkerhetsproblem med informasjonsavsløring når .NET Framework behandler objekter i minnet feilaktig. En angriper som klarer å utnytte sikkerhetsproblemet, kan avsløre innholdet i et berørt systemminne. En godkjent angriper må kjøre et spesiallaget program for å kunne utnytte sikkerhetsproblemet. Oppdateringen løser sikkerhetsproblemet ved å rette opp hvordan .NET Framework håndterer objekter i minnet.

Hvis du vil lære mer om sårbarhetene, kan du gå til følgende vanlige sikkerhetssvakheter og eksponeringer (CVE).

Kjente problemer med denne oppdateringen

ASP.Net programmer mislykkes under forhåndskompilering med feilmelding

Symptomer
Når du har brukt denne samleoppdateringen for sikkerhet og kvalitet for 13. oktober 2020 for .NET Framework 4.8, mislykkes noen ASP.Net programmer under forhåndskompilering. Feilmeldingen du får, inneholder sannsynligvis ordene «Feil ASPCONFIG».

Årsak
En ugyldig konfigurasjonstilstand i delene «sessionState», «anonymouseIdentification» eller «authentication/forms» i «System.web»-konfigurasjonen. Dette kan skje under bygg- og publiseringsrutiner hvis konfigurasjonstransformasjoner lar den Web.config filen være i en mellomliggende tilstand for forhåndskompilering.

Løsning

Dette problemet ble løst i KB4601050.

ASP.Net programmer leverer kanskje ikke tokener uten informasjonskapsler i URI-en

Symptomer
Når du har tatt i bruk denne samleoppdateringen for sikkerhet og kvalitet for .NET Framework 4.8 fra 1. oktober 2020, kan det hende at noen ASP.Net programmer ikke leverer tokener uten informasjonskapsler i URI-en, noe som kan resultere i 302-omdirigeringsløkker eller tapt eller manglende økttilstand.

Årsak
De ASP.Net funksjonene for økttilstand, anonym identifikasjon og skjemagodkjenning er avhengige av utstedelse av tokener til en webklient, og alle tillater at disse tokenene leveres i en informasjonskapsel eller bygges inn i URI-en for klienter som ikke støtter informasjonskapsler. URI-innebygging har lenge vært en usikker og ikke anbefalt praksis, og denne KB-en deaktiverer utstedende tokener i URI-er med mindre en av disse tre funksjonene eksplisitt ber om en informasjonskapselmodus av "UseUri" i konfigurasjonen. Konfigurasjoner som angir Autogjenkjenning eller UseDeviceProfile kan utilsiktet føre til forsøk på og mislykket innebygging av disse tokenene i URI-en.

Løsning

Dette problemet ble løst i KB4601050.

Slik får du denne oppdateringen

Installer denne oppdateringen

Utgivelseskanal Tilgjengelig Neste trinn
Windows Update og Microsoft Update Ja Ingen. Oppdateringen blir lastet ned og installert fra Windows Update automatisk.
Microsoft Update-katalog Ja Du kan få denne oppdateringen som en frittstående pakke ved å gå til nettstedet Microsoft Update-katalog.
Windows Server Update Services (WSUS) Ja Denne oppdateringen blir automatisk synkronisert med WSUS hvis du konfigurerer Produkter og klassifiseringer på denne måten:
Produkt: Windows 10, versjon 2004, Windows Server, versjon 2004, Windows 10, versjon 20H2, og Windows Server, versjon 20H2
Klassifisering: Sikkerhetsoppdateringer

Filinformasjon

Du finner en liste over filene i denne oppdateringen ved å laste ned filinformasjonen for samleoppdateringen.

Informasjon om beskyttelse og sikkerhet