2020 年 10 月 13 日 – KB4578973 適用於 Windows 10 1809 版和 Windows Server 2019 的 .NET Framework 3.5 和 4.8 的累積更新

發行日期:
2020 年 10 月 13 日

版本:
.NET Framework 3.5 和 4.8

摘要

當 .NET Framework 不正確地處理記憶體中的物件時,即存在資訊洩漏弱點。 成功利用此弱點的攻擊者可能會洩漏受影響系統記憶體中的內容。 為了利用弱點,經驗證的攻擊者需要執行蓄意製作的應用程式。 此更新可修正 .NET Framework 複製記憶體中物件的方式,進而處理此項弱點。

若要深入了解這些弱點,請前往下列一般弱點及安全風險 (CVE)。

此更新中的已知問題

ASP.Net 應用程式在先行編譯期間失敗,並顯示錯誤訊息。

徵狀
套用這個 2020 年 10 月 13 日的 .NET Framework 4.8 安全性與品質彙總套件之後,有些 ASP.Net 應用程式會在先行編譯期間失敗。 您收到的錯誤訊息很可能會包含「錯誤 ASPCONFIG」等字。

原因
“System.web” 設定的 “sessionState”, “anonymouseIdentification” 或 “authentication/forms” 區段中有無效的設定狀態。 如果設定轉換讓 Web.config 檔案處於先行編譯的中繼狀態,可能會在例行的建置及發行期間發生此問題。

因應措施
客戶若發現新的非預期失敗或功能問題,可將下列程式碼新增 (合併) 至應用程式設定檔案,以實作應用程式設定。 設定為 “true” 或 “false”,即可避免發生此問題。 不過,若為不仰賴無 Cookie 功能的網站,建議您將此值設定為 “true”。

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
      <appSettings>
          <add key=”aspnet:DisableAppPathModifier” value=”true” />
     </appSettings>
</configuration>

ASP.Net 應用程式可能不會以 URI 傳遞無 Cookie 權杖

徵狀
在套用此 2020 年 10 月 1 日的 NET Framework 4.8 安全性和品質彙總套件之後,有些 ASP.Net 應用程式可能不會以 URI 傳遞無 Cookie 權杖,這可能會造成 302 重新導向迴圈,或遺失工作階段狀態。

原因
工作階段狀態、匿名識別和表單驗證的 ASP.Net 功能全都仰賴核發給 Web 用戶端的權杖,並全部允許選擇以 Cookie 傳遞這類權杖,或對不支援 Cookie 的用戶端以內嵌於 URI 的方式傳遞。 URI 內嵌長久以來都是不安全且不建議使用的做法,除非上述三項功能之一在組態中明確要求使用 “UseUri” 的 Cookie 模式,否則此 KB 都會逕行停用以 URI 核發權杖。 指定 “AutoDetect” 或 “UseDeviceProfile” 的組態可能會意外造成嘗試以 URI 內嵌這些權杖卻失敗的情形。

因應措施
建議發現新意外行為的客戶,將這三個無 Cookie 設定全部變更為 “UseCookies” (如果可能的話)。

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <system.web>
          <anonymousidentification cookieless="UseCookies" />
          <sessionState cookieless="UseCookies" />
          <authentication>
               <forms cookieless="UseCookies" />
          </authentication>
     </system.web>
</configuation>

如果應用程式絕對必須繼續使用 URI 內嵌權杖,並可以安全的方式執行此動作,則可使用下列 appSeting 予以重新啟用。 但再次強調,強烈建議您不要再於 URI 中內嵌這些權杖。

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <appSettings>
          <add key="aspnet:DisableAppPathModifier" value="false" />
     </appSettings>
</configuation>

 

如何取得此更新

安裝此更新

發行管道

可供使用

後續步驟

Windows Update 和 Microsoft Update

無。 此更新將從 Windows Update 自動下載並安裝。

Microsoft Update Catalog

若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。

Windows Server Update Services (WSUS)

如果您依下列所示設定 [產品和分類],此更新將會自動與 WSUS 同步:

產品:Windows 10 1809 版和 Windows Server 2019

分類: 安全性更新

檔案資訊

如需此更新中提供的檔案清單,請下載累積更新的檔案資訊

此更新的其他相關資訊

下列文章包含此更新 (與個別產品版本相關) 的其他資訊。

  • 4579976 說明適用於 ARM64 之 Windows 10 1809 版的 .NET Framework 3.5 和 4.7.2 的累積更新 (KB4579976)

有關保護和安全性的資訊

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與我們的其中一個 Office 支援專員連絡以深入了解您的意見。

×