13 октября 2020 г. KB4578974 накопительное обновление для платформа .NET Framework 3.5 и 4.8 для Windows 10 версии 1903, Windows Server, версии 1903, Windows 10, версии 1909 и Windows Server версии 1909

Применяется к
.NET

Примечание

  • Дата выпуска:
    13 октября 2020 г.
  • Версия:
    платформа .NET Framework 3.5 и 4.8

Сводка

Уязвимость раскрытия информации существует, когда платформа .NET Framework неправильно обрабатывает объекты в памяти. Злоумышленник, который успешно воспользовался уязвимостью, может раскрыть содержимое памяти затронутой системы. Чтобы воспользоваться этой уязвимостью, злоумышленнику, прошедшему проверку подлинности, потребуется запустить специально созданное приложение. Обновление устраняет уязвимость путем исправления того, как платформа .NET Framework обрабатывает объекты в памяти.

Чтобы узнать больше об уязвимостях, перейдите к следующим общим уязвимостям и уязвимостям (CVE).

Известные проблемы, связанные с этим обновлением

ASP.Net приложения завершаются сбоем во время предварительной компиляции с сообщением об ошибке

Симптомы
После применения этого накопительного пакета исправлений для системы безопасности и качества от 13 октября 2020 г. для платформа .NET Framework 4.8 некоторые ASP.Net приложения завершаются сбоем во время предварительной компиляции. Сообщение об ошибке, которое вы получите, скорее всего, будет содержать слова "Ошибка ASPCONFIG".

Причина
Недопустимое состояние конфигурации в разделах "sessionState", "anonymouseIdentification" или "authentication/forms" конфигурации System.web. Это может произойти во время подпрограмм сборки и публикации, если преобразования конфигурации оставляют файл Web.config в промежуточном состоянии для предварительной компиляции.

Возможное решение

Эта проблема была устранена в KB4601056.

ASP.Net приложения могут не предоставлять маркеры без файлов cookie в URI

Симптомы
После применения этого накопительного пакета для системы безопасности и качества от 1 октября 2020 г. для платформа .NET Framework 4.8 некоторые приложения ASP.Net могут не предоставлять маркеры без файлов в URI, что может привести к циклу перенаправления 302, потере или отсутствовать состояние сеанса.

Причина
Функции ASP.Net для состояния сеанса, анонимной идентификации и проверки подлинности с помощью форм зависят от выдачи маркеров веб-клиенту, и все они позволяют предоставлять эти маркеры в файле cookie или внедряться в URI клиентов, которые не поддерживают файлы cookie. Внедрение URI уже давно является небезопасной и нерекомендуемой практикой, и это кб спокойно отключает выдачу маркеров в URI, если одна из этих трех функций явно не запрашивает режим файла cookie UseUri в конфигурации. Конфигурации, указывающие autoDetect или UseDeviceProfile, могут непреднамеренно привести к попытке и сбою внедрения этих маркеров в универсальный код ресурса (URI).

Возможное решение

Эта проблема была устранена в KB4601056.

Порядок получения обновления

Установка этого обновления

Канал выпуска Доступно Следующий шаг
Центр обновления Windows и Центр обновления Майкрософт Да Нет. Это обновление будет скачано и установлено автоматически из Центра обновления Windows.
Каталог Центра обновления Майкрософт Да Чтобы получить отдельный пакет для данного обновления, перейдите на веб-сайт каталога Центра обновления Майкрософт.
Службы Windows Server Update Services (WSUS) Да Это обновление будет автоматически синхронизироваться с WSUS, если вы настроите продукты и классификации следующим образом:
Product:Windows 10, версия 1903, Windows Server, версия 1903, Windows 10, версия 1909 и Windows Server, версия 1909
Классификация: обновления для системы безопасности

Сведения о файлах

Чтобы получить список файлов, которые предоставляются в этом обновлении, скачайте сведения о файлах накопительного обновления.

Сведения о защите и безопасности