Оглавление
×

Дата выпуска:
13 октября 2020 г.

Версия:
.NET Framework 4.8

Аннотация

Улучшения системы безопасности

Если .NET Framework неправильно обрабатывает объекты в памяти, существует уязвимость разглашения информации. Злоумышленник, успешно разглашавший эту уязвимость, может раскрыть содержимое памяти затронутых систем. Чтобы использовать эту уязвимость, злоумышленнику, на который вы хотите проверить подлинность, потребуется запустить специальное приложение. Обновление исправит уязвимость, исправив обработку объектов в памяти.NET Framework.

Чтобы узнать больше об уязвимостях, перейдите к следующим общим уязвимостям и уязвимостям (CVE).

Улучшения качества и надежности

WCF1

- Устранена проблема со службами WCF, из-за чего иногда не удается запустить несколько служб одновременно.

Winforms

— Устранена регрессия, представленная в .NET Framework 4.8, где свойства Control.AccessibleName, Control.AccessibleRole и Control.AccessibleDescription перестали работать для следующих элементов управления: Label, GroupBox, ToolStrip, ToolStripItems, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView.

- Устранена регрессия в именах, доступных для элементов поля со полем со полем со сведениями, для связанных полей со сведениями. В .NET Framework 4.8 вместо значения свойства DisplayMember в качестве доступного имени использовалось имя "Тип".

ASP.NET

- отключено повторное использование AppPathModifier ASP.Net результатах управления.

- Объекты HttpCookie в контексте ASP.Net запроса будут созданы с настроенными значениями по умолчанию для флагов файлов cookie. Стиль NET по умолчанию соответствует поведением "new HttpCookie(name)".

SQL

- Устранен сбой, который иногда происходил при подключении пользователя к одной базе данных Azure SQL, выполнении операции с enclave, а затем подключении к другой базе данных под тем же сервером, у которой тот же URL-адрес проверки и выполнена операция апроксимации на втором сервере.

CLR2

- Добавлена переменная Thread_AssignCpuGroups CLR (1) (по умолчанию — 1), которая может быть настроена как 0, чтобы отключить автоматическое назначение групп ЦП для новых потоков, созданных в thread.Start() и цепочках пула потоков (1), что позволяет приложению самостоятельно распределять цепочки.

— устранены редкие повреждения данных, которые могут возникать при использовании новых API, таких как небезопасные.ByteOffset<T> которые часто используются с новыми типами span. Повреждения могут возникать, если операция GC выполняется, когда цепочка звонков является небезопасной.ByteOffset<> изнутри цикла.

- Решена проблема, касающаяся сроков с очень длинным сроком, намного раньше, чем ожидалось, когда переключатель AppContext переключает "Switch.System. Threading.UseNetCoreTimer" включен.


1 Windows Communication Foundation (WCF)
2 Common Language Runtime (CLR)

Известные проблемы в этом обновлении

ASP.Net сбой приложений во время предварительной оценки с сообщением об ошибке

Симптомы
После применения этой системы безопасности и качества для .NET Framework 4.8 от 13 октября 2020 г. некоторые приложения ASP.Net во время предварительной подготовки. Скорее всего, сообщение об ошибке будет содержать слова "Ошибка ASPCONFIG".

Причина
Недопустимое состояние конфигурации в настройках sessionState, AnonymouseIdentification или "authentication/forms" конфигурации System.web. Это может произойти во время процедуры создания и публикации, если преобразования конфигурации покидают промежуточный Web.config для предварительной компиляции в промежуточном состоянии.

Обходное решение
Клиенты, наблюдающие за новыми непредвиденными сбоями или функциональными ошибками, могут реализовать параметры приложения, добавив (или слияния) следующий код в файл конфигурации приложения. Чтобы избежать этой проблемы, задав "true" или "false". Однако для сайтов, на которые не установлены функции без cookie, советуем установить для этого значения значение true.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
      <appSettings>
          <add key=”aspnet:DisableAppPathModifier” value=”true” />
     </appSettings>
</configuration>

ASP.Net приложения могут не доставлять маркеры cookieless в URI

Симптомы
После применения этой системы безопасности и качества для .NET Framework 4.8 от 1 октября 2020 г. некоторые приложения ASP.Net могут не доставлять маркеры cookieless в URI, что может привести к циклу перенаправления 302 или утере или отсутствуют состояния сеанса.

Причина
Функции ASP.Net сеанса, анонимной идентификации и проверки подлинности Forms зависят от выдачи маркеров веб-клиенту, и они поддерживают доставку таких токенов в файл cookie или внедренные в URI для клиентов, которые их не поддерживают. URI-embedding уже давно является заученным и несопроверданным правилом, и этот KB тихо отключает выдачу маркеров в URI, если одна из этих трех функций явно не запрашивает режим cookie "UseUri" в конфигурации. Конфигурация с указанием автоопрещений или useDeviceProfile может случайно привести к попытке их встраить в URI.

Обходное решение
Клиентам, которые наблюдают за новым неожиданным поведением, по возможности рекомендуется изменить все три параметра без cookie на UseCookies.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <system.web>
          <anonymousidentification cookieless="UseCookies" />
          <sessionState cookieless="UseCookies" />
          <authentication>
               <forms cookieless="UseCookies" />
          </authentication>
     </system.web>
</configuation>

Если приложению необходимо продолжать использовать внедренные URI маркеры и сделать это безопасно, их можно снова включить с помощью следующего appSeting: Но еще раз настоятельно рекомендуется не встраить эти токены в URI.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <appSettings>
          <add key="aspnet:DisableAppPathModifier" value="false" />
     </appSettings>
</configuation>

Как получить это обновление

Установите это обновление

Канал выпуска

Доступно

Следующий шаг

Обновление Windows и Microsoft Update

Да

Нет. Это обновление будет скачино и установлено автоматически из Обновления Windows.

Каталог Центра обновления Майкрософт

Да

Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога обновлений Майкрософт.

cлужбы Windows Server Update Services (WSUS)

Да

Это обновление будет автоматически синхронизироваться с WSUS, если вы настроите продукты и классификации следующим образом:

Продукт:Windows 10 версии 1709

Классификация:обновления для системы безопасности

Сведения о файлах

Чтобы получить список файлов, которые предоставляются в этом обновлении, скачайте сведения о совокупном обновлении.

Сведения о защите и безопасности

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?

Спасибо за ваш отзыв!

×