2024 年 7 月 9 日 - 适用于 Windows Server 2008 R2 SP1 的 .NET Framework 3.5.1、4.6.2、4.7、4.7.1、4.7.2、4.8 的安全和质量汇总 (KB5041021)

中断性变更详细信息

2024 年 7 月安全和质量汇总 - .NET Framework 发布的 .NET Framework 服务更新包含一个安全修补程序，该修补程序解决了 CVE 2024-38081 中详述的特权提升漏洞。 该修补程序更改了 System.IO.Path.GetTempPath 方法的返回值。 如果 Windows 版本公开 GetTempPath2 Win32 API，则此方法会调用该 API 并返回解析后的路径。 有关如何执行此解析的详细信息，包括如何通过使用环境变量来控制返回值，请参阅 GetTempPath2 文档的“备注”部分。 GetTempPath2 API 可能并非在所有版本的 Windows 上都可用。

GetTempPath 和 GetTempPath2 Win32 API 之间的一个明显区别是，它们为 SYSTEM 进程和非 SYSTEM 进程返回不同的值。 从作为 SYSTEM 运行的进程调用此函数时，它将返回路径 %WINDIR%\SystemTemp，该路径对非 SYSTEM 进程不可访问。 环境变量无法覆盖 SYSTEM 进程的此返回值。 对于非 SYSTEM 进程，GetTempPath2 的行为将与 GetTempPath 相同，并遵循相同的环境变量来替代返回值。

在某些情况下，可以使用环境变量或其他方式将 Temp 文件夹重定向到其他文件夹。 有关此行为的最新信息，请参阅 GetTempPath2 Win32 API 的官方文档。

有关详细信息，请参阅 System.IO.Path.GetTempPath API。

临时解决方法

⚠️ 警告：选择退出将禁用 CVE 2024-38081 中详述的特权提升漏洞的安全修补程序。 选择退出只能作为确定软件在安全环境中运行时的临时解决方法。 Microsoft 不建议应用此临时解决方法。

• 选项 1：通过设置环境变量在命令窗口中选择退出

  • COMPlus_Disable_GetTempPath2=true

• 选项 2：通过创建一个系统范围的环境变量在计算机上全局选择退出，并重启以确保所有进程都察觉到此更改。​​​​​​​​​​​​​​

  • 可以通过从 cmd 窗口中运行“sysdm.cpl”，然后导航到“高级”->“环境变量”->“系统变量”->“新建”来设置系统范围的环境变量。 

解决方法

更改 API 行为是为了解决特权提升漏洞。 任何受影响的软件或应用程序都应修改代码，以适应这种新的设计更改。

发布频道

可用

下一步

Windows Update 和 Microsoft Update

是

无。 此更新会通过 Windows 更新自动下载并安装。

Microsoft 更新目录

是

要获取此更新的独立程序包，请转到 Microsoft 更新目录网站。

Windows Server Update Services (WSUS)

是

此操作系统更新将提供（如果适用）并将安装单独的 .NET Framework 产品更新。 有关单独的 .NET Framework 产品更新的更多信息，请参阅有关此更新的其他信息部分。

如果按以下方式配置，此更新将自动与 WSUS 同步：

产品：Windows Server 2008 R2 Service Pack 1、Windows Embedded Standard 7 Service Pack 1、Windows Embedded POSReady 7、Windows 7 Professional for Embedded Systems

分类：安全更新