13. lokakuuta 2020 KB4578968 Cumulative Update for .NET Framework 3.5 and 4.8 for Windows 10, version 2004, Windows Server, version 2004, Windows 10, version 20H2 ja Windows Server, version 20H2
Julkaisupäivä:
13. lokakuuta 2020
Versio:
.NET Framework 3.5 ja 4.8
Yhteenveto
Tietojen paljastumisen haavoittuvuus on olemassa, kun .NET Framework käsittelee muistissa olevan objektin virheellisesti. Haavoittuvuutta onnistuneesti hyödyntävä hyökkäykseen käytetty valvoja saattaa paljastaa järjestelmän muistin sisältöä. Jotta haavoittuvuutta voidaan hyödyntää, todennettu hyökkäykseen käytetty henkilö tarvitsee erityisesti muodostelun sovelluksen. Päivitys korjaa haavoittuvuusongelman korjaamalla, miten .NET Framework käsittelee objekteja muistissa.
Lisätietoja haavoittuvuuksista on seuraavissa CVE:n (Common Vulnerabilities and Exposures) -ohjeissa.
Tämän päivityksen tunnetut ongelmat
ASP.Net sovellusten epäonnistuminen esi täydennyksen aikana ja virhesanoma
Ongelmat
Kun olet soveltanut tätä 13. lokakuuta 2020 -suojaus- ja laatu koontiversiota .NET Framework 4.8 :ssa, jotkin ASP.Net epäonnistuvat esi täydennyksen aikana. Näyttöön tulee virhesanoma, joka sisältää todennäköisesti sanat "Error ASPCONFIG".
Syy
Virheellinen määritystila System.web-määrityksen "sessionState"-, "anonymouseIdentification"- tai "authentication/forms"-osissa. Tämä voi ilmetä koonti- ja julkaisurutiinin aikana, jos määritysmuunnokset jättävät Web.config-tiedoston keskitason tilaan esi täydentämistä varten.
Vaihtoehtoinen menetelmä
Tämä ongelma on korjattu KB4601050:ssä.
ASP.Net sovellukset eivät ehkä toimita keksittömiä tunnuksia URI-tunnuksessa
Ongelmat
Kun olet soveltanut tämän 1. lokakuuta 2020 -suojaus- ja laatukoonnin .NET Frameworkin 4.8-sovellukselle, jotkin ASP.Net-sovellukset eivät välttämättä toimita evästeettömiä tunnuksia URI-tunnukseen, mikä voi johtaa 302-uudelleenohjaussilmukaihin tai kadonneiden tai puuttuvien istuntojen tilaan.
Syy
Istuntojen ASP.Net anonyymin tunnistamisen ja lomakkeiden todentamisen ASP.Net kaikki perustuvat tunnuksien myöntämiseen verkkoasiakasohjelmassa, ja ne kaikki sallivat näiden tunnusten toimittamisen evästeeseen tai URI-tunnukseen upottamisen asiakkaille, jotka eivät tue evästeitä. URI-upottaminen on pitkään ollut epävarma ja epäsiveellinen käytäntö, ja tämä knowledge base poistaa tunnuksien myöntämisen URI:ssa hiljaisesti käytöstä, ellei jokin näistä kolmesta ominaisuudesta erikseen pyytä useuri-evästetilaa määrityksessä. Määritykset, jotka määrittävät "Automaattinen tunnistaminen" tai "UseDeviceProfile", voivat vahingossa aiheuttaa näiden tunnusten upottamisen URI-tunnukseen.
Vaihtoehtoinen menetelmä
Tämä ongelma on korjattu KB4601050:ssä.
Päivityksen saaminen
Asenna tämä päivitys
|
Julkaisukanava |
Käytettävissä |
Seuraava vaihe |
|
Windows Update ja Microsoft Update |
Kyllä |
Ei mitään. Tämä päivitys ladataan ja asennetaan automaattisesti Windows Updatesta. |
|
Microsoft Update -luettelo |
Kyllä |
Jos haluat saada erillisen paketin tälle päivitykselle, siirry Microsoft Update Catalog -sivustoon. |
|
Windows Server Update Services (WSUS) |
Kyllä |
Tämä päivitys synkronoituu automaattisesti WSUS:n kanssa, jos määrität tuotteet ja luokitukset seuraavasti: Tuote:Windows 10, versio 2004, Windows Server, versio 2004, Windows 10, versio 20H2 ja Windows Server, versio 20H2 Luokitus:Suojauspäivitykset |
Tiedoston tiedot
Saat luettelon tämän päivityksen sisältämistä tiedostoista lataamalla kumulatiivisen päivityksen tiedostotiedot.
Suojausta ja suojausta koskevat tiedot
-
Suojaa itsesi verkossa: Windowsin suojauksen tuki
-
Lue, miten suojaamme kyberuhkia vastaan: Microsoft Security
Tarvitsetko lisäohjeita?
Haluatko lisää vaihtoehtoja?
Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.
Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.
