Applies To.NET

Data de lansare: 13 octombrie 2020

Versiune: .net Framework 3,5 și 4,8

Rezumat

O vulnerabilitate de dezvăluire a informațiilor există atunci când .NET Framework gestionează în mod incorect obiectele din memorie. Un atacator care a exploatat cu succes vulnerabilitatea poate divulga conținutul memoriei unui sistem afectat. Pentru a exploata vulnerabilitatea, un atacator autentificat ar trebui să ruleze o aplicație special creată. Actualizarea abordează vulnerabilitatea prin corectarea modului în care .NET Framework gestionează obiectele din memorie.

Pentru a afla mai multe despre vulnerabilități, accesați următoarele vulnerabilități și expuneri comune (CVE).

Probleme cunoscute în această actualizare

Aplicațiile ASP.Net nu reușesc în timpul precompilării cu mesajul de eroare

Simptomele După ce aplicați acest pachet de securitate și calitate pentru 2020 din octombrie pentru .NET Framework 4,8, unele aplicații ASP.Net nu reușesc în timpul precompilării. Mesajul de eroare pe care îl primiți va conține probabil cuvintele "eroare ASPCONFIG" . Cauza O stare de configurare nevalidă fie în secțiunea "sessionState", "anonymouseIdentification", "sau" autentificare/formulare "a configurării" System. Web ". Acest lucru poate apărea în timpul rutinelor de compilare și publicare dacă transformări de configurare părăsesc fișierul Web.config într-o stare intermediară pentru precompilare.Soluție

Această problemă a fost rezolvată în KB4601050.

Este posibil ca aplicațiile ASP.Net să nu livreze jetoane fără prăjituri în URI

Simptomele După ce aplicați acest pachet de securitate și calitate 2020 pentru .NET Framework 4,8, este posibil ca unele aplicații ASP.Net să nu livreze tokenuri fără prăjituri în URI, rezultând eventual în buclele de redirecționare 302 sau în starea de sesiune pierdută sau lipsă.Cauza Caracteristicile ASP.Net pentru starea sesiunii, identificarea anonimă și autentificarea formularelor se bazează pe emiterea tokenurilor la un client web și toate acestea permit opțiunea ca acele simboluri să fie livrate într-un modul cookie sau încorporate în URI pentru clienți care nu acceptă modulele cookie. URI-încorporarea a fost mult timp o practică nesigură și dezrecomandată, iar acest lucru KB dezactivează în mod silențios emiterea tokenurilor în URI, cu excepția cazului în care una dintre aceste trei caracteristici solicită în mod explicit un modul cookie de "UseUri" în configurare. Configurațiile care specifică "autodetection" sau "UseDeviceProfile" pot avea ca rezultat neintenționat încercarea și încorporarea nereușită a acestor tokenuri în URI.

Soluție de evitare

Această problemă a fost rezolvată în KB4601050.

Cum se obține această actualizare

Instalați această actualizare

Canal de lansare

Disponibile

Pasul următor

Actualizare Windows și Microsoft Update

Da

Fără. Această actualizare va fi descărcată și instalată automat din Windows Update.

Catalog Microsoft Update

Da

Pentru a obține pachetul independent pentru această actualizare, accesați site-ul web Catalog Microsoft Update .

Windows Server Update Services (WSUS)

Da

Această actualizare se va sincroniza automat cu WSUS dacă configurați produse și clasificări după cum urmează:

Produs: Windows 10, versiunea 2004, Windows Server, versiunea 2004, Windows 10, versiunea 20H2 și Windows Server, versiunea 20H2

Clasificare: actualizări de securitate

Informații despre fișier

Pentru o listă a fișierelor furnizate în această actualizare, descărcați informațiile despre fișier pentru actualizarea cumulativă.

Informații despre protecție și securitate

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.