2020 年 10 月 13 日 – KB4578968 適用於 Windows 10 20H2 版的 .NET Framework 3.5 和 4.8 累積更新

發行日期:
2020 年 10 月 13 日

版本:
.NET Framework 3.5 和 4.8

摘要

當 .NET Framework 不正確地處理記憶體中的物件時,即存在資訊洩漏弱點。 成功利用此弱點的攻擊者可能會洩漏受影響系統記憶體中的內容。 為了利用弱點,經驗證的攻擊者需要執行蓄意製作的應用程式。 此更新可修正 .NET Framework 複製記憶體中物件的方式,進而處理此項弱點。

若要深入了解這些弱點,請前往下列一般弱點及安全風險 (CVE)。

此更新中的已知問題

ASP.Net 應用程式在先行編譯期間失敗,並顯示錯誤訊息。

徵狀
套用這個 2020 年 10 月 13 日的 .NET Framework 4.8 安全性與品質彙總套件之後,有些 ASP.Net 應用程式會在先行編譯期間失敗。 您收到的錯誤訊息很可能會包含「錯誤 ASPCONFIG」等字。

原因
“System.web” 設定的 “sessionState”, “anonymouseIdentification” 或 “authentication/forms” 區段中有無效的設定狀態。 如果設定轉換讓 Web.config 檔案處於先行編譯的中繼狀態,可能會在例行的建置及發行期間發生此問題。

因應措施
客戶若發現新的非預期失敗或功能問題,可將下列程式碼新增 (合併) 至應用程式設定檔案,以實作應用程式設定。 設定為 “true” 或 “false”,即可避免發生此問題。 不過,若為不仰賴無 Cookie 功能的網站,建議您將此值設定為 “true”。

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
      <appSettings>
          <add key=”aspnet:DisableAppPathModifier” value=”true” />
     </appSettings>
</configuration>

ASP.Net 應用程式可能不會以 URI 傳遞無 Cookie 權杖

徵狀
在套用此 2020 年 10 月 1 日的 NET Framework 4.8 安全性和品質彙總套件之後,有些 ASP.Net 應用程式可能不會以 URI 傳遞無 Cookie 權杖,這可能會造成 302 重新導向迴圈,或遺失工作階段狀態。

原因
工作階段狀態、匿名識別和表單驗證的 ASP.Net 功能全都仰賴核發給 Web 用戶端的權杖,並全部允許選擇以 Cookie 傳遞這類權杖,或對不支援 Cookie 的用戶端以內嵌於 URI 的方式傳遞。 URI 內嵌長久以來都是不安全且不建議使用的做法,除非上述三項功能之一在組態中明確要求使用 “UseUri” 的 Cookie 模式,否則此 KB 都會逕行停用以 URI 核發權杖。 指定 “AutoDetect” 或 “UseDeviceProfile” 的組態可能會意外造成嘗試以 URI 內嵌這些權杖卻失敗的情形。

因應措施
建議發現新意外行為的客戶,將這三個無 Cookie 設定全部變更為 “UseCookies” (如果可能的話)。

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <system.web>
          <anonymousidentification cookieless="UseCookies" />
          <sessionState cookieless="UseCookies" />
          <authentication>
               <forms cookieless="UseCookies" />
          </authentication>
     </system.web>
</configuation>

如果應用程式絕對必須繼續使用 URI 內嵌權杖,並可以安全的方式執行此動作,則可使用下列 appSeting 予以重新啟用。 但再次強調,強烈建議您不要再於 URI 中內嵌這些權杖。

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <appSettings>
          <add key="aspnet:DisableAppPathModifier" value="false" />
     </appSettings>
</configuation>

 

如何取得此更新

安裝此更新

發行管道

可供使用

後續步驟

Windows Update 和 Microsoft Update

無。 此更新將從 Windows Update 自動下載並安裝。

Microsoft Update Catalog

若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。

Windows Server Update Services (WSUS)

如果您依下列所示設定 [產品和分類],此更新將會自動與 WSUS 同步:

產品:Windows 10

分類: 安全性更新

檔案資訊

如需此更新中提供的檔案清單,請下載累積更新的檔案資訊

有關保護和安全性的資訊

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

Thank you for your feedback!

Thank you for your feedback! It sounds like it might be helpful to connect you to one of our Office support agents.

×