Samenvatting
Nadat u een van de beveiligingsupdates voor 3141780 (beschreven in Microsoft-beveiligingsbulletin MS16-035), ondervinden .NET Framework-applicaties uitzonderingsfouten of onverwachte fouten wanneer zij bij het verwerken van bestanden met SignedXml.
Meer informatie
Belangrijk Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, er kunnen ernstige problemen optreden als u het register onjuist bewerkt. Daarom is het belangrijk de volgende stappen zorgvuldig te volgen. Als extra beveiliging maakt u een back-up van het register voordat u wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over hoe u een back-up van het register kunt maken en terugzetten, klikt u op het volgende artikel in de Microsoft Knowledge Base:
322756 Back-up maken en terugzetten van het register in Windows
Scenario 1
Symptomen van scenario 1
Beheerde toepassingen terug een uitzondering fout met de volgende handtekening:
System.Security.Cryptography.CryptographicException: Kan niet worden omgezet van Uri [FileOrUrl].
Voorbeeld
System.Security.Cryptography.CryptographicException: Kan niet worden testfile.xml Uri omgezet.
Oplossing scenario 1
Klanten kunnen de volgende registersleutel van toepassing op hun systeem:
Registervermelding
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\Security@SignedXmlAllowDetachedSignature=1
. REG-bestand die beschikbaar zijn voor downloaden
U lost dit probleem, klikt u op de desbetreffende koppeling en dubbelklik op het gedownloade bestand om de wijzigingen in het register.
SignedXml ExternalReferences.reg (32-bits op 32-bits) en 64-bits proces in 64-bits versie
SignedXml ExternalReferences.Wow6432.reg (32-bits proces in 64-bits versie)
Opmerkingen
-
Deze registervermelding moet een DWORD-vermelding.
-
Deze registervermelding herstelt het vorige gedrag van openen of downloaden van een resource die zich buiten het document wordt gecontroleerd voor het berekenen van de digest.
Waarschuwing Inschakelen van deze registersleutel kan leiden tot beveiligingsproblemen, met inbegrip van Denial of Service, Distributed reflectie denial of Service, vrijgeven van informatie, handtekening overslaan en tot uitvoering van externe Code.
Scenario 2
Scenario 2 symptomen
Controle van de handtekening mislukt als succes werd verwacht.
Scenario 2-resolutie
Als de inhoud de volgende handtekening blokkeren bevat, toe te passen van de opgegeven registervermelding:
Voorbeeld van de handtekening blokkeren
<Document>
…
< handtekening xmlns = "http://www.w3.org/2000/09/xmldsig#" >
<SignedInfo>
< algoritme CanonicalizationMethod = "http://www.w3.org/TR/2001/REC-xml-c14n-20010315" / >
< algoritme SignatureMethod = "http://www.w3.org/2000/09/xmldsig#rsa-sha1" / >
< verwijzen naar URI = "..." >
<Transforms>
< transform algoritme = "http://www.w3.org/TR/1999/REC-xpath-19991116" / ></Transforms>< DigestMethod-algoritme = "http://www.w3.org/2000/09/xmldsig#sha1" / ><DigestValue>…</DigestValue></Reference></SignedInfo><SignatureValue>…</SignatureValue></Signature>…
</Document>
Registervermelding
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\Security\SafeTransformMethods@XmlDsigXPathTransform=http://www.w3.org/TR/1999/REC-xpath-19991116
. REG-bestand die beschikbaar zijn voor downloaden
U lost dit probleem, klikt u op de desbetreffende koppeling en dubbelklik op het gedownloade bestand om de wijzigingen in het register.
XmlDSigXPathTransform.reg (32-bits op 32-bits) en 64-bits proces in 64-bits versie
XmlDSigXPathTransform.Wow6432.reg (32-bits proces in 64-bits versie)
Als het handtekeningblok de volgende tekst bevat, toe te passen van de opgegeven registervermelding:
Voorbeeld van de handtekening blokkeren
<Document>
…
< handtekening xmlns = "http://www.w3.org/2000/09/xmldsig#" >
<SignedInfo>
< algoritme CanonicalizationMethod = "http://www.w3.org/TR/2001/REC-xml-c14n-20010315" / >
< algoritme SignatureMethod = "http://www.w3.org/2000/09/xmldsig#rsa-sha1" / >
< verwijzen naar URI = "..." >
<Transforms>
< transform algoritme = "http://www.w3.org/TR/1999/REC-xslt-19991116" / ></Transforms>< DigestMethod-algoritme = "http://www.w3.org/2000/09/xmldsig#sha1" / ><DigestValue>…</DigestValue></Reference></SignedInfo><SignatureValue>…</SignatureValue></Signature>…
</Document>
Registervermelding
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\Security\SafeTransformMethods@XmlDsigXsltTransform=http://www.w3.org/TR/1999/REC-xslt-19991116
. REG-bestand die beschikbaar zijn voor downloaden
U lost dit probleem, klikt u op de desbetreffende koppeling en dubbelklik op het gedownloade bestand om de wijzigingen in het register.
XmlDSigXsltTransform.reg (32-bits op 32-bits) en 64-bits proces in 64-bits versie
XmlDSigXsltTransform.Wow6432.reg (32-bits proces in 64-bits versie)
Opmerking Alleen de XML-handtekening transformaties die worden geleverd door het .NET Framework en accepteren geen invoer van het ondertekende document zijn standaard ingeschakeld. Waarmee u transformaties invoer accepteren of aangepaste transformaties, moet de URI ingeschreven voor deze transformatie als de gegevens van een getypt REG_SZ waarde in deze registersleutel worden opgegeven. De naam van de waarde wordt niet verwerkt en kan alles wat een beheerder van de computer wordt gekozen.
Waarschuwing De XPath- en XSLT-transformaties kunnen de afzender document gegevensindeling documenten maken. Dit kan leiden tot een Denial of Service-situatie.
