Erros de "Acesso negado" e aplicativos com ativação COM falham após a instalação de julho de 2018 atualizações de segurança e Acúmulo de qualidade para o.NET Framework

Aplica-se a: .NET Framework

Introdução


Aplicativos que dependem do.NET Framework para inicializar um componente e que são executados com permissões restritas pode falhar ao iniciar ou funcionar corretamente depois de instalar o de 2018 julho atualizações de segurança e Acúmulo de qualidade para o.NET Framework.

Microsoft.NET Framework runtime usa o token de processo para determinar se o processo está sendo executado em um contexto elevado. Essas chamadas do sistema poderá falhar se as permissões de inspeção do processo necessárias não estão presentes. Isso causa um erro "acesso negado".

Sintomas


Depois que você instalar uma das Atualizações de segurança de julho 2018.NET Framework, um componente COM Falha ao carregar por causa de "acesso negado" "classe não registrada," ou "Falha interna por razões desconhecidas" erros. A assinatura de falha mais comuns é a seguinte:

Exception type: System.UnauthorizedAccessException

Message: Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED))

SharePoint

  • Quando os usuários navegam em um site do SharePoint, ele poderá ver a seguinte mensagem HTTP 403: "O Site recusou-se a mostrar a página da Web" HTTP 403.
  • Os Logs do ULS do SharePoint irá conter as mensagens, como o seguinte:

w3wp.exe (0x1894)         0x0B94  SharePoint Foundation  General 0000       High                UnauthorizedAccessException for the request. 403 Forbidden will be returned. Error=An error occurred creating the configuration section handler for system.serviceModel/extensions: Could not load file or assembly <AssemblySignature>  or one of its dependencies. Access is denied. (C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Config\machine.config line 180)  

 w3wp.exe (0x1894)         0x0B94  SharePoint Foundation  General b6p2      VerboseEx                Sending HTTP response 403:403 FORBIDDEN.    

w3wp.exe (0x1894)         0x0B94  SharePoint Foundation  General 8nca       Verbose                Application error when access /, Error=Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED))      

  • Ao rastrear uma fonte de conteúdo de pessoas, a solicitação pode falhar e faça a seguinte entrada no Log ULS do SharePoint:

mssearch.exe (0x118C) 0x203C SharePoint Server Search Crawler:Gatherer Plugin cd11 Warning The start address sps3s://<URLtoSite> cannot be crawled.  Context: Application 'Search_Service_Application', Catalog 'Portal_Content'  Details:  Class not registered   (0x80040154)

Quando o erro ocorre, uma mensagem semelhante à seguinte é registrada nos logs de rastreamento do SharePoint:

sps3s://<URLtoSite> A component required for crawling this type of content is not registered with this application server. View the event logs for more information. (SearchID = XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX)

Console de administração do BizTalk Server

  • Console de administração do BizTalk Server não for iniciado corretamente e retorna os seguintes erros:

An internal failure occurred for unknown reasons. (WinMgmt)

Program Location:

   at System.Runtime.InteropServices.Marshal.ThrowExceptionForHRInternal(Int32 errorCode, IntPtr errorInfo)

   at System.Management.ManagementObject.Get()

   at Microsoft.BizTalk.SnapIn.Framework.WmiProvider.SelectInstance

IIS com ASP clássico

  • Um ASP clássico hospedado chamando CreateObject para objetos COM do .NET pode gerar uma mensagem de erro semelhante à seguinte: ActiveX component can't create object

Aplicativo .NET que usa a representação

  • Um aplicativo .NET que cria uma instância de um aplicativo .NET COM dentro de um contexto de representação pode gerar uma mensagem de erro semelhante à seguinte: 0x80040154 (REGDB_E_CLASSNOTREG)

Resolução


Para resolver esses problemas, aplique as atualizações de agosto 2018 segurança e compressão de dados de qualidade ou a segurança apenasaplicáveis ao seu sistema operacional e o.NET Framework instalado. Para obter mais informações, vá para 8356 de CVE-2018 | vulnerabilidade de anulação de recurso de segurança do.NET Framework.

Solução alternativa


Para contornar esse problema, tente um dos seguintes métodos.

Observação:Dependendo do aplicativo afetado e seu código, as soluções alternativas a seguintes podem não ser eficazes.

  • Se tiver conhecimento em nível avançado sobre como os processos são iniciados, executar o processo usando oPROCESS_QUERY_INFORMATIONpermissão.
  • IIS hospedados ASP clássico chamando CreateObject para objetos COM do .NET receberá um "o componente ActiveX não consegue criar a objeto" erro:
    • Se seu site usa autenticação anônima:
      • Alterar as credenciais de autenticação anônima do Site da Web para usar a "identidade de pool de aplicativos".
    • Se seu site usa autenticação básica ou autenticação do Windows:
      • Efetuar login no aplicativo uma vez como a identidade do pool de aplicativos, então criar uma instância do componente COM do .NET.
      • Depois disso, outros usuários do site será capazes de componente ativo COM .NET sem falha.
    • Como alternativa, se você estiver usando a autenticação do Windows, e você está acessando o site do console do servidor Windows no qual o aplicativo ASP é executado:
      • Também criar uma instância do componente COM do .NET resolve o erro para outros usuários do site.
  • Um aplicativo .NET que cria uma instância do aplicativo COM .NET dentro de um contexto de representação pode gerar uma mensagem de erro "0x80040154 (REGDB_E_CLASSNOTREG)" :
    • Crie uma instância do componente COM .NET antes da chamada do contexto de representação.
      • Representado posteriormente criar instância chamadas trabalho conforme o esperado.
    • Execute o aplicativo .NET no contexto do usuário representado.
    • Evite usar representação ao criar o objeto COM do .NET.
  • Se o UAC estiver desativado para o computador, reativá-lo.
  • Se o processo falhar ao carregar diasymreader, execute o seguinte comando para o assembly: ngen install <the failing assembly> Para obter mais informações sobre o ngen, consulteNgen.exe (Native Image Generator).

Aviso::As seguintes soluções alternativas podem tornar um computador ou a rede mais vulnerável aos ataques de usuários ou softwares mal-intencionados, como vírus. Não recomendamos essas soluções alternativas. No entanto, estamos fornecendo essas informações para que você possa implementar as soluções alternativas à sua própria responsabilidade. Uso dessas soluções alternativas em seu próprio risco.

  • Adicionar "serviço de rede" ao grupo de administradores local.

Status


A Microsoft confirmou que este é um problema nos produtos Microsoft listados na seção "Aplicável a".

 

Aplicável a

Julho 2018 as atualizações de segurança do.NET Frameworkpara o .NET Framework 3.5, 4.0, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 e 4.7.2 em todas as versões aplicáveis e com suporte do Windows