Applies To.NET

วันที่เผยแพร่: 13 ตุลาคม 2020

เวอร์ชัน: .NET Framework 3.5 และ 4.8

สรุป

ช่องโหว่การเปิดเผยข้อมูลที่มีอยู่เมื่อ .NET Framework จัดการวัตถุในหน่วยความจําอย่างไม่เหมาะสม ผู้โจมตีที่โจมตีช่องโหว่สามารถเปิดเผยเนื้อหาของหน่วยความจําของระบบที่ได้รับผลกระทบได้ To exploit the vulnerability, an authenticated attacker would need to run a specially crafted application. การอัปเดตจะระบุช่องโหว่โดยการแก้ไขข้อผิดพลาดของ .NET Framework จัดการวัตถุในหน่วยความจํา

เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ ให้ไปที่ช่องโหว่ทั่วไปและความเสี่ยง (CVE) ต่อไปนี้

ปัญหาที่ทราบแล้วในการอัปเดตนี้

ASP.Netล้มเหลวในระหว่างการคอมไพล์ล่วงหน้าด้วยข้อความแสดงข้อผิดพลาด

อาการ หลังจากที่คุณใช้ 13 ตุลาคม 2020 ตัวอย่างด้านความปลอดภัยและคุณภาพจาก .NET Framework 4.8 แอปพลิเคชันบางASP.Netอาจล้มเหลวในระหว่างการคอมไพล์ล่วงหน้า ข้อความแสดงข้อผิดพลาดที่คุณได้รับอาจมีข้อความ "Error ASPCONFIG" สาเหตุ สถานะการกําหนดค่าที่ไม่ถูกต้องในส่วน "sessionStater" "anonymoussidentification" หรือ "authentication/forms" ของการกําหนดค่า "System.web" ปัญหานี้อาจเกิดขึ้นในระหว่างกิจวัตรการสร้างและเผยแพร่ถ้าการแปลงการWeb.configออกจากไฟล์ Web.config ในสถานะขั้นกลางเพื่อคอมไพล์ล่วงหน้าวิธีแก้ไขปัญหาชั่วคราว

ปัญหานี้ได้รับการแก้ไขแล้วในKB4601050

ASP.Netอาจไม่สามารถส่งโทเค็น cookieless ใน URI ได้

อาการ หลังจากที่คุณใช้ 1 ตุลาคม 2020 ตัวอย่างด้านความปลอดภัยและคุณภาพจาก .NET Framework 4.8 แอปพลิเคชัน ASP.Net บางรายการอาจไม่ส่งโทเค็นที่ไม่มีคุกกี้ใน URI อาจส่งผลให้เกิดการวนรอบ 302 การเปลี่ยนเส้นทางหรือสถานะเซสชันที่หายไปหรือขาดหายไปสาเหตุ ฟีเจอร์ ASP.Net ของสถานะเซสชัน การระบุตัวแบบไม่ระบุชื่อ และการรับรองความถูกต้องของฟอร์มทั้งหมดจะต้องออกโทเค็นไปยังเว็บไคลเอ็นต์ และทั้งหมดจะอนุญาตให้ตัวเลือกโทเค็นเหล่านั้นส่งในคุกกี้หรือฝังใน URI ให้กับไคลเอ็นต์ที่ไม่สนับสนุนคุกกี้ การฝัง URI นั้นไม่ปลอดภัยและไม่เหมาะสมกับแนวปฏิบัติและ KB นี้จะปิดใช้งานโทเค็นที่ออกโทเค็นอย่างเงียบๆ ใน URI เว้นแต่ว่าหนึ่งในสามฟีเจอร์นี้จะขอโหมดคุกกี้ "UseUri" ในการกําหนดค่าอย่างชัดเจน การกําหนดค่าที่ระบุ "AutoDetect" หรือ "UseDeviceProfile" อาจส่งผลให้พยายามฝังโทเค็นเหล่านี้ใน URI โดยไม่ได้ตั้งใจ

วิธีแก้ไขปัญหาชั่วคราว

ปัญหานี้ได้รับการแก้ไขแล้วในKB4601050

วิธีรับการอัปเดตนี้

ติดตั้งการอัปเดตนี้

ช่องทางการเผยแพร่

ใช้ได้

ขั้นตอนถัดไป

Windows Update และ Microsoft Update

ใช่

ไม่มี การอัปเดตนี้จะถูกดาวน์โหลดและติดตั้งโดยอัตโนมัติจาก Windows Update

Microsoft Update Catalog

ใช่

เมื่อต้องการรับแพคเกจแบบสแตนด์อโลนของการอัปเดตนี้ ให้ไปที่เว็บไซต์ Microsoft Update Catalog

Windows Server Update Services (WSUS)

ใช่

การอัปเดตนี้จะซิงค์กับ WSUS โดยอัตโนมัติถ้าคุณกําหนด ค่าผลิตภัณฑ์และการจัดประเภท ดังนี้:

ผลิตภัณฑ์: Windows 10 เวอร์ชัน 2004, Windows Server เวอร์ชัน 2004, Windows 10 เวอร์ชัน 20H2 และ Windows Server เวอร์ชัน 20H2

การจัดประเภท: การอัปเดตด้านความปลอดภัย

ข้อมูลไฟล์

For a list of the files that are provided in this update, download the file information for cumulative update.

ข้อมูลเกี่ยวกับการป้องกันและความปลอดภัย

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย