9 июля 2024 г. — Накопительный пакет обновления для системы безопасности и качества для платформа .NET Framework 2.0, 3.0, 3.5 с пакетом обновления 1 (SP1), 4.6.2 для Windows Server 2008 с пакетом обновления 2 (SP2) (KB5041024)

Изменено 28 августа 2024 г.: Обновите сведения о критическом изменении до раздела известной проблемы.

Изменено 30 июля 2024 г.: Добавьте сведения о критическом изменении в раздел известных проблем.

Применимо к:

Microsoft .NET Framework 2.0 Microsoft .NET Framework 3.0 Microsoft .NET Framework 3.5 с пакетом обновления 1 (SP1) Microsoft .NET Framework 4.6.2

НАПОМИНАНИЕ Windows Server 2008 R2 с пакетом обновления 1 (SP1) закончился и теперь поддерживается расширенное обновление для системы безопасности (ESU).

Начиная с июля 2020 г., для этой операционной системы больше не будут использоваться необязательные выпуски, не относящиеся к безопасности (известные как выпуски "C"). Операционные системы с расширенной поддержкой имеют только накопительные ежемесячные обновления для системы безопасности (известные как "B" или обновление во вторник).

Перед установкой этого обновления убедитесь, что установлены необходимые обновления, перечисленные в разделе Как получить это обновление .　

Клиенты, которые приобрели расширенное обновление безопасности (ESU) для локальных версий этих операционных систем, должны следовать инструкциям в KB4522133 продолжать получать обновления для системы безопасности после окончания расширенной поддержки 14 января 2020 г.　Дополнительные сведения об ESU и поддерживаемых выпусках см. в разделе KB4497181. Дополнительные сведения см. в блоге ESU.

НАПОМИНАНИЕ Все обновления для .NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1 и 4.6 требуют установки обновления d3dcompiler_47.dll. Перед применением этого обновления рекомендуется установить включенную d3dcompiler_47.dll обновление. Дополнительные сведения о d3dcompiler_47.dll см. в разделе 4019990 базы знаний.

Если языковой пакет устанавливается после установки этого обновления, необходимо переустановить это обновление. Поэтому перед установкой этого обновления рекомендуется установить все необходимые языковые пакеты. Дополнительные сведения см. в статье Добавление языковых пакетов в Windows.

Аннотация

Улучшения безопасности

CVE-2024-38081 — уязвимость .NET Framework, связанная с повышением привилегий Это обновление для системы безопасности устраняет уязвимость удаленного выполнения кода, описанную в разделе CVE-2024-38081.

Улучшения качества и надежности

Список улучшений, выпущенных с этим обновлением, см. по ссылкам в этой статье в разделе Дополнительные сведения этой статьи.

Известные проблемы в этом обновлении

Сведения о критическом изменении

Обновление для обслуживания .NET Framework, выпущенное в июле 2024 г. Накопительный пакет обновления безопасности и качества. Платформа .NET Framework содержит исправление безопасности, устраняющее уязвимость, связанную с повышением привилегий, подробно описанной в cve 2024-38081. Исправление изменило возвращаемое значение метода System.IO.Path.GetTempPath. Если версия Windows предоставляет API Win32 GetTempPath2, этот метод вызывает этот API и возвращает разрешенный путь. Дополнительные сведения о том, как выполняется это разрешение, в том числе о том, как управлять возвращаемым значением с помощью переменных среды, см. в разделе Примечания документации getTempPath2 . API GetTempPath2 может быть доступен не во всех версиях Windows.

Наблюдаемая разница между API-интерфейсами Win32 GetTempPath и GetTempPath2 заключается в том, что они возвращают разные значения для процессов SYSTEM и других процессов. При вызове этой функции из процесса, выполняющегося от имени SYSTEM, возвращается путь %WINDIR%\SystemTemp, который недоступен для процессов, не являющихся системными. Это возвращаемое значение для системных процессов не может быть переопределено переменными среды. Для процессов, отличных от SYSTEM, GetTempPath2 будет вести себя так же, как GetTempPath, учитывая те же переменные среды, чтобы переопределить возвращаемое значение.

В некоторых сценариях можно перенаправить папку Temp в другую папку с помощью переменных среды или других средств. Самые актуальные сведения об этом поведении см. в официальной документации по API Win32 GetTempPath2 .

Дополнительные сведения см . в apiе System.IO.Path.GetTempPath.

Временное решение

⚠️ Предупреждение. Отказ отключит исправление безопасности для уязвимости повышения привилегий, описанное в CVE 2024-38081. Отказ предназначен только для временного обходного решения, если вы уверены, что программное обеспечение работает в безопасных средах. Корпорация Майкрософт не рекомендует применять это временное решение.

Вариант No 1. Отказ в командном окне путем задания переменной среды
- COMPlus_Disable_GetTempPath2=true
Opiton#2. Глобальное отказ на компьютере путем создания общесистемной переменной среды и перезагрузки, чтобы все процессы наблюдали за изменением.
- Переменные среды для всей системы можно задать, запустив "sysdm.cpl" в окне cmd, а затем перейдя в раздел "Расширенные переменные среды > -> Системные переменные -> Создать".

Решение

Изменение поведения API предназначено для устранения уязвимости повышения привилегий. Любое затронутое программное обеспечение или приложение, как ожидается, внесет изменения в код, чтобы адаптироваться к этому новому изменению структуры.

Дополнительные сведения об этом обновлении

В следующих статьях содержатся дополнительные сведения об этом обновлении, связанном с отдельными версиями продукта.

5039911 Описание накопительного пакета исправлений для .NET Framework 2.0, 3.0 для Windows Server 2008 с пакетом обновления 2 (SP2) (KB5039911)
5040673 Описание накопительного пакета безопасности и качества для .NET Framework 3.5 с пакетом обновления 1 (SP1) для Windows Server 2008 с пакетом обновления 2 (SP2) (KB5040673)
5039882 Описание накопительного пакета для системы безопасности и качества для .NET Framework 4.6.2 для Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2) (KB5039882)

Как получить это обновление

Канал выпуска	Доступно	Следующий шаг
Центр обновления Windows и Центр обновления Майкрософт	Да	Никакой. Это обновление будет загружено и установлено автоматически из Центра обновления Windows.
Каталог Центра обновления Майкрософт	Да	Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога Центра обновления Майкрософт .
Windows Server Update Services (WSUS)	Да	Это обновление операционной системы будет предлагаться, если применимо, и будут установлены отдельные обновления продукта .NET Framework. Дополнительные сведения об отдельных обновлениях продуктов .NET Framework см. в этом разделе. Это обновление будет автоматически синхронизироваться с WSUS, если вы настроите следующим образом: Продукт: Windows Server 2008 с пакетом обновления 2 (SP2) Классификация: обновления системы безопасности

Получение справки и поддержки для этого обновления

Справка по установке обновлений: вопросы и ответы о Центре обновления Windows
Защита себя в Интернете и дома: поддержка безопасности Windows
Локальная поддержка в соответствии с вашей страной: международная поддержка

Аннотация

Известные проблемы в этом обновлении

Дополнительные сведения об этом обновлении

Как получить это обновление

Получение справки и поддержки для этого обновления

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Были ли сведения полезными?

Спасибо за ваш отзыв!