Applies To.NET

发布日期 :2020 年 10 月 13 日

版本:.NET Framework 3.5 和 4.8

摘要

当 .NET Framework 不正确地处理内存中的对象时,存在信息泄漏漏洞。 成功利用该漏洞的攻击者可能会泄漏受影响系统的内存的内容。 要利用该漏洞,已经过身份验证的攻击者将需要运行经特殊设计的应用程序。 该更新通过更正 .NET Framework 处理内存中对象的方式来修复此漏洞。

若要了解有关漏洞的更多信息,请参阅以下常见漏洞和披露 (CVE)。

此更新中的已知问题

ASP.Net 预编译期间应用程序失败并出现错误消息

症状 在 2020 年 10 月 13 日针对 .NET Framework 4.8 应用此安全和质量汇总后,某些 ASP.Net 应用程序在预编译期间失败。 收到的错误消息可能包含"错误 ASPCONFIG"字样。 原因 "sessionState"、"anonymouseIdentification"或"authentication/forms"部分中"System.web"配置中的无效配置状态。 如果配置转换将配置文件保留为中间状态Web.config预编译,则生成和发布例程期间可能会发生这种情况。解决方法

此问题在 KB4601050 中已解决

ASP.Net 应用程序可能无法在 URI 中提供无 Cookie 令牌

症状 在 2020 年 10 月 1 日对 .NET Framework 4.8 应用安全和质量汇总后,某些 ASP.Net 应用程序可能无法在 URI 中提供无 Cookie 令牌,这可能会导致 302 重定向循环或会话状态丢失或缺失。原因 会话 ASP.Net、匿名标识和表单身份验证的 ASP.Net 功能都依赖于向 Web 客户端颁发令牌,并且所有这些功能都允许为不支持 Cookie 的客户端在 Cookie 中传递或嵌入 URI 中的选项。 URI 嵌入一直是一种不安全且不建议的做法,此知识库禁止在 URI 中颁发令牌,除非这三个功能之一在配置中显式请求 Cookie 模式"UseUri"。 指定"AutoDetect"或"UseDeviceProfile"的配置可能会在无意中导致尝试和失败将这些令牌嵌入 URI 中。

解决方法

此问题在 KB4601050 中已解决

如何获取此更新

安装此更新

发布频道

可用

下一步

Windows Update 和 Microsoft Update

无。 此更新会通过 Windows 更新自动下载并安装。

Microsoft 更新目录

若要获取此更新的独立程序包,请转到 Microsoft 更新目录 网站。

Windows Server Update Services (WSUS)

如果按照以下方式配置“产品和分类”,此更新将自动与 WSUS 同步:

产品:Windows 10 版本 2004、Windows Server 版本 2004、Windows 10 版本 20H2 和 Windows Server 版本 20H2

分类:安全更新

文件信息

有关此更新中提供的文件列表,请 下载累积更新的文件信息

有关保护和安全的信息

订阅 RSS 源

需要更多帮助?

需要更多选项?

发现 社区

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。

咨询 Microsoft 社区

Microsoft 技术社区

Windows 预览体验成员

Microsoft 365 预览体验