Applies To.NET

Yayınlanma Tarihi: 13 Ekim 2020

Sürüm: .NET Framework 4.8

Özet

Güvenlik geliştirmeleri

.NET Framework bellekte nesneleri yanlış işleyene kadar bilgi açıklama güvenlik açığı vardır. Güvenlik açığını başarıyla sömüren bir saldırgan, etkilenen sistemin belleğinin içeriğini açıkebiliyor. Bu açıktan yararlanmak için kimliği doğrulanmış bir saldırgan özel olarak hazırlanmış bir uygulama çalıştırması gerekir. Güncelleştirme, .NET Framework'in bellekte nesneleri nasıl işleyeni düzelterek bu güvenlik açığının üstesinden gelir.

Güvenlik açıkları hakkında daha fazla bilgi edinmek için aşağıdaki Ortak Güvenlik Açıkları ve Açıkları (MZP) açıklara gidin.

Kalite ve güvenilirlik geliştirmeleri

WCF1

- WcF hizmetleriyle ilgili bir sorun, bazen birden çok hizmeti eşzamanlı olarak başlatamaya başlayamayabiliyordu.

Winforms

- Şu denetimler için Control.AccessibleName, Control.AccessibleRole ve Control.AccessibleDescription özellikleri çalışmayı durduran .NET Framework 4.8'de bir regresyona değinildi: Label, GroupBox, ToolStrip, ToolStripItems, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView.

- Veri ilişkili birleşik giriş kutuları için birleşik giriş kutusu öğelerinde erişilebilir addaki bir regresyona değinildi. .NET Framework 4.8, DisplayMember özelliğinin değeri yerine tür adını erişilebilir bir ad olarak kullanmaya başladı, bu geliştirmede DisplayMember yeniden kullanılır.

ASP.NET

- Denetim çıkışında AppPathModifier'ın ASP.Net devre dışı bırakılır.

- ASP.Net isteği bağlamında httpCookie nesneleri, tanımlama bilgisi bayrakları yerine yapılandırılmış varsayılanlar ile oluşturulur. NET stili temel varsayılan değerleri 'yeni HttpCookie(ad)' davranışına uygun.

SQL

- Bazen kullanıcı bir Azure SQL veritabanına bağlandığında, en oluşturma tabanlı bir işlem gerçekleştirilen ve ardından aynı Attestation URL'sini olan aynı sunucu altında başka bir veritabanına bağlandıktan sonra ikinci sunucuda bir en öteleme işlemi gerçekleştirilen bir hata giderildi.

CLR2

- ClR'nin Thread.Start() ve iş parçacığı havuzu iş parçacığı tarafından oluşturulan yeni iş parçacığı için gerçekleştirilen otomatik CPU grubu atamasını devre dışı bırakmak üzere 0 olarak ayarlan bir CLR yapılandırma değişkeni Thread_AssignCpuGroups (varsayılan olarak 1) eklendi; uygulama kendi iş parçacığını yayma özelliğini kullanabilir.

- Unsafe.ByteOffset<T> gibi yeni API'ler kullanılırken ortaya çıkarabilecek nadir veri bozulmalarına değinildi. Bir iş parçacığı Unsafe.ByteOffset<T t t> bir döngü içinde çağırırken OBC işlemi gerçekleştirilirken bozulma oluşabilir.

- AppContext anahtarı "son tem olduğunda çok uzun süre önce değere sahip olan zamanların beklenenden çok daha erken bir zamanda değere ineceği bir Switch.Sysgiderildi. Threading.UseNetCoreTimer" etkindir.

1 Windows Communication Foundation (WCF) 2 Ortak Dil Çalışma Zamanı (CLR)

Bu güncelleştirmede bilinen sorunlar

ASP.Net iletisiyle derleme sırasında uygulamalar başarısız oluyor

Belirtiler Bu .NET Framework 4.8 için 13 Ekim 2020 Güvenlik ve Kalite Paketi'ASP.Net, bazı ASP.Net derleme sırasında başarısız olur. Size gelen hata iletisi büyük olasılıkla "Hata ASPCONFIG" sözcüklerini içerir. Neden "sessionState", "anonymouseIdentification" veya "System.web" yapılandırmasının "kimlik doğrulama/formlar" bölümlerinde geçersiz bir yapılandırma durumu. Yapılandırma dönüştürmeleri dosyadan ön derleme için ara bir durumda Web.config ve yayımlama yordamları sırasında bu durum ortaya çıkabilir.Geçici çözüm Yeni beklenmeyen hataları veya işlevsel sorunları gözlemleyen müşteriler, uygulama yapılandırma dosyasına aşağıdaki kodu ekleyerek (veya birleştirerek) bir uygulama ayarı gerçekleştirebilirler. "True" veya "false" ayarı sorundan kaçınacak. Bununla birlikte, tanımlama bilgisi olmayan özelliklere güvenmediğiniz siteler için bu değeri "true" olarak ayarlamayı öneririz.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
      <appSettings>
          <add key=”aspnet:DisableAppPathModifier” value=”true” />
     </appSettings>
</configuration>

ASP.Net uygulamaları URI'de tanımlama bilgisi olmayan belirteçleri teslim edeyem

Belirtiler .NET Framework 4.8 için bu 1 Ekim 2020 Güvenlik ve Kalite Paketi'ne başvurduktan sonra, bazı ASP.Net uygulamaları URI'de tanımlama bilgisi olmayan belirteçleri teslim edemeyerek 302 yeniden yönlendirmeli döngülere veya kayıp veya eksik oturum durumuna neden olabilir.Neden Oturum Durumu, Anonim Kimlik Doğrulama ve Form Kimlik Doğrulaması için ASP.Net özelliklerinin hepsi bir web istemcisine belirteç verme özelliğine sahiptir ve hepsi bu belirteçlerin bir tanımlama bilgisi içinde teslim olmasına veya tanımlama bilgilerini desteklemez istemciler için URI'ye ekli olmasına izin verir. URI ekleme uzun süredir güvenli olmayan ve onaysız bir uygulamadır ve bu KB, yapılandırmada açıkça "UseUri" tanımlama bilgisi modu isteğinde olmadığı sürece URI'lerde belirteçleri verme özelliğini sessizce devre dışı bırakmalıdır. "Otomatik Algılama" veya "UseDeviceProfile" ifadesini belirten yapılandırmalar istemeden bu belirteçlerin URI'ye eklemeye denenip başarısızlığa neden olabilir.

Geçici çözüm Yeni beklenmedik davranışlar gözlemlenen müşterilerin, mümkünse tanımlama bilgisi olmayan üç ayarı da "UseCookies" olarak değiştirmeleri önerilir.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <system.web>
          <anonymousidentification cookieless="UseCookies" />
          <sessionState cookieless="UseCookies" />
          <authentication>
               <forms cookieless="UseCookies" />
          </authentication>
     </system.web>
</configuation>

Bir uygulama URI eklenmiş belirteçleri kesinlikle kullanmaya devam etmek ve bunu güvenle yapmak gerekirse, aşağıdaki uygulamaSeting ile yeniden etkinleştirilebilirler. Ancak, bu belirteçleri URI'lere eklemeden uzaklaşmak kesinlikle önerilir.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <appSettings>
          <add key="aspnet:DisableAppPathModifier" value="false" />
     </appSettings>
</configuation>

Bu güncelleştirme nasıl güncelleştirmeyi alır?

Bu güncelleştirmeyi yükle

Sürüm Kanalı

Kullanılabilir

Sonraki Adım

Windows Update ve Microsoft Update

Evet

Yok. Bu güncelleştirme Windows Update'den otomatik olarak indirilecek ve yüklenir.

Microsoft Update Kataloğu

Evet

Bu güncelleştirmenin tek başına paketini almak için Microsoft Update Kataloğu web sitesine gidin.

Windows Server Update Services (WSUS)

Evet

Ürün ve Sınıflandırmaları aşağıdaki gibi yapılandırdıysanız, bu güncelleştirme WSUS ile otomatik olarak eşitlenir:

Ürün:Windows 10 Sürüm 1709

Sınıflandırma: Güvenlik Güncelleştirmeleri

Dosya bilgileri

Bu güncelleştirmede sağlanan dosyaların listesi için, toplu güncelleştirme için dosya bilgilerini indirin.

Koruma ve güvenlik hakkında bilgi

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.