Бюллетень по безопасности Майкрософт MS14-059 — важно
Уязвимость в ASP.NET MVC может разрешить обход функций безопасности (2990942)
Опубликовано: 14 октября 2014 г.
Версия: 1.0
Общие сведения
Краткий обзор
Это обновление системы безопасности разрешает общедоступную уязвимость в ASP.NET MVC. Уязвимость может позволить обходу функций безопасности, если злоумышленник убеждает пользователя щелкнуть специально созданную ссылку или посетить веб-страницу, содержащую специально созданное содержимое, предназначенное для использования уязвимости. В сценарии атаки на основе веб-сайтов злоумышленник может разместить специально созданный веб-сайт, предназначенный для использования уязвимости через веб-браузер, а затем убедить пользователя просмотреть веб-сайт. Злоумышленник также может воспользоваться скомпрометированных веб-сайтов и веб-сайтов, которые принимают или размещают предоставленное пользователем содержимое или рекламу. Эти веб-сайты могут содержать специально созданное содержимое, которое может использовать уязвимость. Однако во всех случаях злоумышленник не сможет заставить пользователей просматривать управляемое злоумышленником содержимое. Вместо этого злоумышленнику придется убедить пользователей принять меры, как правило, путем того, как получить ссылку в сообщении электронной почты или в сообщении мгновенного посланника, которое отправляет их на веб-сайт злоумышленника или получить их, чтобы открыть вложение, отправленное по электронной почте.
Это обновление системы безопасности оценивается как важно для ASP.NET MVC 2, ASP.NET MVC 3, ASP.NET MVC 4, ASP.NET MVC 5 и APS.NET MVC 5.1. Дополнительные сведения см. в разделе "Затронутые программы" этого бюллетеня.
Обновление безопасности устраняет уязвимость, исправляя способ обработки кодировки входных данных ASP.NET MVC. Дополнительные сведения об уязвимости см. в подразделе часто задаваемых вопросов (часто задаваемых вопросов) для конкретной уязвимости далее в этом бюллетене.
Рекомендация. Корпорация Майкрософт рекомендует клиентам устанавливать это обновление безопасности при первой возможности. В некоторых случаях клиентам с включенным автоматическим обновлением не потребуется предпринимать никаких действий, так как это обновление безопасности будет загружено и установлено автоматически. Обновление будет предложено системам с включенным автоматическим обновлением, если выполняется одно из следующих двух условий:
- Установлен MVC 2.0, MVC 3.0 или MVC 4.0 или
- Система работает под управлением Microsoft платформа .NET Framework 4.5.1 и приложения с затронутым компонентом (System.Web.Mvc.dll для ASP.NET MVC 2.0, 3.0, 4.0, 5.0 и 5.1) была загружена ранее.
Клиенты с автоматическим обновлением отключены, системы которых соответствуют ни одним из критериев, также могут получить обновление, проверка для обновлений с помощью службы обновления Майкрософт. Клиенты, системы которых не соответствуют критериям (или клиентам, которые не уверены, если это так), должны скачать и установить обновление вручную с помощью ссылок Центра загрузки Майкрософт, указанных в таблице "Затронутые программы " этого бюллетеня. Сведения о конкретных параметрах конфигурации при автоматическом обновлении см. в статье базы знаний Майкрософт 294871. Для клиентов, не имеющих автоматического обновления, можно использовать шаги, описанные в разделе "Включение или отключение автоматического обновления" для включения автоматического обновления.
Клиенты, работающие под управлением MVC 3.0, MVC 4.0, MVC 5.0 или MVC 5.1, также могут вручную развернуть обновленный пакет NuGet, как описано в разделе развертывания обновлений системы безопасности этого бюллетеня. Обратите внимание, что клиенты без контроля над сервером, которым необходимо исправить свое приложение, потребуется повторно развернуть свое приложение после скачивания и установки обновленного пакета NuGet. Дополнительные сведения о поддержке обслуживания NuGet для .NET см. в статье .NET 4.5.1 Поддержка microsoft Security Обновления для библиотек NuGet .NET.
Статья базы знаний
- Статья базы знаний: 2990942
- Сведения о файле: Да
- Хэши SHA1/SHA2: Да
- Известные проблемы: Нет
Затронутого программного обеспечения
Затронуты следующие версии программного обеспечения или выпуски. Версии или выпуски, не перечисленные в списке, были в прошлом жизненном цикле поддержки или не затронуты. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе ASP.NET Политики жизненного цикла поддержки.
Затронутого программного обеспечения
| Инструменты разработчика | Максимальное влияние на безопасность | Оценка серьезности агрегата | Обновления заменено |
|---|---|---|---|
| ASP.NET MVC 2.0\ (2993939) | Обход компонентов безопасности | Внимание | нет |
| ASP.NET MVC 3.0\ (2993937) | Обход компонентов безопасности | Внимание | нет |
| ASP.NET MVC 4.0\ (2993928) | Обход компонентов безопасности | Внимание | нет |
| ASP.NET MVC 5.0\ (2992080) | Обход компонентов безопасности | Внимание | нет |
| ASP.NET MVC 5.1\ (2994397) | Обход компонентов безопасности | Внимание | нет |
Вопросы и ответы по обновлению
Что такое ASP.NET MVC?
ASP.NET MVC (контроллер представления модели) — это набор инструментов на основе шаблонов для создания динамических веб-сайтов, который обеспечивает четкое разделение проблем и обеспечивает клиентам полный контроль над разметкой для приятной, гибкой разработки. ASP.NET MVC включает множество функций, которые обеспечивают быструю и удобную разработку TDD для создания сложных приложений, использующих новейшие веб-стандарты. Дополнительные сведения см. в разделе "Сведения о ASP.NET MVC".
Кто будет предложено обновление с помощью автоматического обновления?
Обновление будет предложено системам с включенным автоматическим обновлением, если выполняется одно из следующих двух условий:
- Установлен MVC 2.0, MVC 3.0 или MVC 4.0 или
- Система работает под управлением Microsoft платформа .NET Framework 4.5.1 и приложения с затронутым компонентом (System.Web.Mvc.dll для ASP.NET MVC 2.0, 3.0, 4.0, 5.0 и 5.1) была загружена ранее.
Клиенты с автоматическим обновлением отключены, системы которых соответствуют ни одним из критериев, также могут получить обновление, проверка для обновлений с помощью службы обновления Майкрософт. Клиенты, системы которых не соответствуют критериям (или клиентам, которые не уверены, если это так), должны скачать и установить обновление вручную с помощью ссылок Центра загрузки Майкрософт, указанных в таблице "Затронутые программы " этого бюллетеня. Сведения о конкретных параметрах конфигурации при автоматическом обновлении см. в статье базы знаний Майкрософт 294871. Для клиентов, не имеющих автоматического обновления, можно использовать шаги, описанные в разделе "Включение или отключение автоматического обновления" для включения автоматического обновления.
Клиенты, работающие под управлением MVC 3.0, MVC 4.0, MVC 5.0 или MVC 5.1, также могут вручную развернуть обновленный пакет NuGet, как описано в разделе развертывания обновлений системы безопасности этого бюллетеня. Обратите внимание, что клиенты без контроля над сервером, которым необходимо исправить свое приложение, потребуется повторно развернуть свое приложение после скачивания и установки обновленного пакета NuGet. Дополнительные сведения о поддержке обслуживания NuGet для .NET см. в статье .NET 4.5.1 Поддержка microsoft Security Обновления для библиотек NuGet .NET.
Разделы справки определить, какая версия ASP.NET MVC установлена в моей системе?
Для MVC 4.0, MVC 5.0 или MVC 5.1 необходимо развернуть затронутый двоичный файл (System.Web.MVC.dll) с приложением. Проверьте папку bin приложения для версии двоичного файла. Для MVC 2.0, MVC 3.0 или MVC 4.0 см . в элементе панели управления "Добавление и удаление программ " для установленной версии MVC.
| Добавление и удаление имен программ |
|---|
| Microsoft ASP.NET MVC 2 |
| Microsoft ASP.NET MVC 3 |
| Среда выполнения MVC 4 microsoft ASP.NET |
Необходимо ли включить центр обновления Майкрософт на компьютере или сервере, чтобы получить это обновление?
№ Если вы не хотите включить Центр обновления Майкрософт в системе, вы можете скачать обновление непосредственно из Центра загрузки Майкрософт (см. статью базы знаний: 2990942)) или обновить пакеты NuGet до безопасной версии (см . раздел развертывания обновлений системы безопасности этого бюллетеня), а затем повторно развернуть приложение на сервере.
Что делает обновление для моей системы и как влияет мое приложение MVC?
Обновление MSI устанавливает фиксированную сборку (System.Web.Mvc.dll) в GAC. Таким образом, уязвимые версии сборки (System.Web.Mvc.dll), развернутые с приложениями, работающими на сервере, перезаписываются версией в GAC, которая будет безопасной версией.
Для MVC 3.0 и MVC 4.0 можно установить полный продукт на сервере, на котором установлена уязвимая версия System.Web.Mvc.dll. Чтобы устранить эту проблему, версия сборки была добавлена в фиксированной версии, а сопровождающая сборка политики издателя также устанавливается для перенаправления предыдущих версий сборки, развернутых с приложениями.
Нужно ли беспокоиться об этом обновлении, негативно влияя на функциональные возможности веб-сайта?
№ Это обновление не негативно влияет на функциональные возможности веб-сайта. Однако в редких случаях, когда разработчик использовал функцию Affect и вручную закодировал выходные данные в HTML, пользователь может видеть двойные символы. Например, "<" может отображаться как "<". Это можно исправить разработчиком, удалив шаг кодирования вручную. Эта проблема не влияет на функциональные возможности веб-сайта; это только визуальный артефакт.
MVC 3.0 RTM устанавливается в моей системе и после установки обновления я больше не могу создать новый проект в Visual Studio 2010, как исправить это?
ASP.NET шаблонах MVC 3.0 для Visual Studio 2010 используются сборки, установленные в папке ссылочных сборок. Так как обновленная версия сборки для MVC 3.0 увеличивается, шаблоны больше не будут работать. Чтобы решить эту проблему, установите обновление средств MVC 3.0.1 для Visual Studio 2010.
Я установил обновление и теперь планирует повторно развернуть свои приложения с более высокой версией ASP.NET MVC; существуют ли проблемы с этим планом действий?
Нет проблем. При развертывании приложения с более высокой версией System.Web.Mvc.dll, чем то, что находится в GAC, версия сборки, развернутой с приложением, будет иметь приоритет.
Я использую старый выпуск программного обеспечения, рассмотренного в этом бюллетене по безопасности. Что делать?
Затронутое программное обеспечение, указанное в этом бюллетене, было проверено, чтобы определить, какие выпуски затронуты. Другие выпуски прошли жизненный цикл поддержки. Дополнительные сведения о жизненном цикле поддержки ASP.NET см. в разделе ASP.NET Политики жизненного цикла поддержки.
Это должно быть приоритетом для клиентов, имеющих старые выпуски программного обеспечения для миграции на поддерживаемые выпуски, чтобы предотвратить потенциальное воздействие уязвимостей. Чтобы определить жизненный цикл поддержки для выпуска программного обеспечения, см. раздел "Выбор продукта для сведений о жизненном цикле". Дополнительные сведения о пакетах обновления для этих выпусков программного обеспечения см . в политике поддержки жизненного цикла пакета обновления.
Клиенты, которым требуется пользовательская поддержка более старого программного обеспечения, должны обратиться к своему представителю группы учетных записей Майкрософт, менеджеру технической учетной записи или соответствующему представителю партнера Майкрософт для пользовательских вариантов поддержки. Клиенты без альянса, Premier или авторизованного контракта могут связаться со своим местным офисом продаж Майкрософт. Контактные данные см. на веб-сайте Microsoft Worldwide Information , а затем выберите страну, чтобы просмотреть список телефонных номеров. При вызове попросите поговорить с местным менеджером по продажам в службу поддержки Premier. Дополнительные сведения см. в разделе "Часто задаваемые вопросы о политике жизненного цикла служба поддержки Майкрософт".
Оценки серьезности и идентификаторы уязвимостей
Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о возможности использования уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке бюллетеня по эксплойтации в октябре. Дополнительные сведения см. в разделе "Индекс эксплойтации Майкрософт".
| Оценка серьезности уязвимостей и максимальное влияние на безопасность затронутого программного обеспечения | ||
|---|---|---|
| Затронутого программного обеспечения | Уязвимость MVC XSS — CVE-2014-4075 | Оценка серьезности агрегата |
| Инструменты разработчика | ||
| ASP.NET MVC 2.0 (2993939) | Важный обход компонентов безопасности | Важно! |
| ASP.NET MVC 3.0 (2993937) | Важный обход компонентов безопасности | Важно! |
| ASP.NET MVC 4.0 (2993928) | Важный обход компонентов безопасности | Важно! |
| ASP.NET MVC 5.0 (2992080) | Важный обход компонентов безопасности | Важно! |
| ASP.NET MVC 5.1 (2994397) | Важный обход компонентов безопасности | Важно! |
Уязвимость MVC XSS — CVE-2014-4075
Уязвимость межсайтовых сценариев (XSS) существует в ASP.NET MVC, которая может позволить злоумышленнику внедрить клиентский скрипт в веб-браузер пользователя. Скрипт может спуфинировать содержимое, раскрыть информацию или предпринять какие-либо действия, которые пользователь мог предпринять на сайте от имени целевого пользователя.
Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2014-4075.
Смягчающие факторы
Устранение рисков ссылается на параметр, общую конфигурацию или общую рекомендацию, существующую в состоянии по умолчанию, которая может снизить серьезность эксплуатации уязвимости. В вашей ситуации могут оказаться полезными следующие факторы устранения рисков:
- В сценарии атаки на веб-основе злоумышленник может разместить специально созданный веб-сайт, предназначенный для использования этой уязвимости через веб-браузер, а затем убедить пользователя просмотреть веб-сайт. Злоумышленник также может воспользоваться скомпрометированных веб-сайтов и веб-сайтов, которые принимают или размещают предоставленное пользователем содержимое или рекламу. Эти веб-сайты могут содержать специально созданное содержимое, которое может использовать эту уязвимость. Однако во всех случаях злоумышленник не сможет заставить пользователей просматривать управляемое злоумышленником содержимое. Вместо этого злоумышленнику придется убедить пользователей принять меры, как правило, путем того, как получить ссылку в сообщении электронной почты или в сообщении мгновенного посланника, которое отправляет их на веб-сайт злоумышленника или получить их, чтобы открыть вложение, отправленное по электронной почте.
- Фильтр XSS в Интернете Обозреватель 8, Интернет Обозреватель 9, Интернет Обозреватель 10 и Интернет Обозреватель 11 предотвращает эту атаку для пользователей при просмотре веб-сайтов в зоне Интернета. Обратите внимание, что фильтр XSS в Интернете Обозреватель 8, Интернет Обозреватель 9, Интернет Обозреватель 10 и Интернет Обозреватель 11 включен по умолчанию в зоне Интернета, но по умолчанию не включен в зоне интрасети.
Методы обхода проблемы
Решение относится к изменению параметра или конфигурации, которое не исправляет базовую уязвимость, но поможет заблокировать известные векторы атак перед применением обновления. Корпорация Майкрософт проверила следующие обходные пути и состояния в обсуждении, сокращает ли решение функциональные возможности:
Задайте для параметров зоны безопасности интернета и локальной интрасети значение High, чтобы блокировать элементы ActiveX и активные скрипты в этих зонах.
Вы можете защититься от эксплуатации этой уязвимости, изменив параметры зоны безопасности Интернета, чтобы заблокировать элементы ActiveX и активные скрипты. Это можно сделать, задав для браузера значение "Высокий".Чтобы повысить уровень безопасности браузера в Интернете Обозреватель, выполните следующие действия.
- В меню "Средства Обозреватель в Интернете" выберите пункт "Параметры браузера".
- В диалоговом окне "Параметры браузера" перейдите на вкладку "Безопасность" и выберите "Интернет".
- В разделе "Уровень безопасности" для этой зоны переместите ползунок на высокий. Это задает уровень безопасности для всех веб-сайтов, которые вы посещаете в High.
- Щелкните локальную интрасеть.
- В разделе "Уровень безопасности" для этой зоны переместите ползунок на высокий. Это задает уровень безопасности для всех веб-сайтов, которые вы посещаете в High.
- Нажмите кнопку "ОК", чтобы принять изменения и вернуться в Интернет Обозреватель.
Примечание. Если ползунок не отображается, щелкните уровень по умолчанию и переместите ползунок на высокий.
Примечание. Установка уровня "Высокий" может привести к неправильной работе некоторых веб-сайтов. Если после изменения этого параметра у вас возникли трудности с использованием веб-сайта, и вы уверены, что сайт является безопасным для использования, вы можете добавить этот сайт в список надежных сайтов. Это позволит сайту работать правильно, даже если для параметра безопасности задано значение High.
Влияние обходного решения. Существуют побочные эффекты для блокировки элементов ActiveX и активного скрипта. Многие веб-сайты, которые находятся в Интернете или в интрасети, используют ActiveX или Active Scripting для предоставления дополнительных функций. Например, веб-сайт электронной коммерции или банковский сайт может использовать элементы ActiveX для предоставления меню, форм заказа или даже инструкций по счету. Блокировка элементов ActiveX или Активное скриптирование — это глобальный параметр, который влияет на все сайты Интернета и интрасети. Если вы не хотите блокировать элементы ActiveX или активные скрипты для таких сайтов, выполните действия, описанные в разделе "Добавление сайтов, которым вы доверяете в зоне надежных сайтов Интернета Обозреватель".
Добавление сайтов, которым вы доверяете, в зону надежных сайтов в Интернете Обозреватель
После настройки Интернет-Обозреватель блокировать элементы activeX и активные скрипты в зоне Интернета и в зоне локальной интрасети можно добавить сайты, которыми вы доверяете, в зону надежных сайтов Интернета Обозреватель. Это позволит вам продолжать использовать надежные веб-сайты точно так же, как вы делаете сегодня, помогая защитить себя от этой атаки на ненадежные сайты. Рекомендуется добавить только сайты, которым вы доверяете, в зону надежных сайтов.
Для этого выполните следующие действия:
- В Интернете Обозреватель щелкните "Сервис", выберите пункт "Параметры браузера" и перейдите на вкладку "Безопасность".
- В разделе "Выбор зоны веб-контента", чтобы указать текущие параметры безопасности, щелкните "Надежные сайты" и выберите "Сайты".
- Если вы хотите добавить сайты, которые не требуют зашифрованного канала, щелкните, чтобы очистить проверку сервера (https:) для всех сайтов в этой зоне проверка поле.
- В поле "Добавить этот веб-сайт" введите URL-адрес доверенного сайта и нажмите кнопку "Добавить".
- Повторите эти действия для каждого сайта, который вы хотите добавить в зону.
- Нажмите кнопку "ОК", чтобы принять изменения и вернуться в Интернет Обозреватель.
Обратите внимание , что все сайты, которым вы доверяете, не принимают вредоносные меры в вашей системе. В частности, можно добавить *.windowsupdate.microsoft.com и *.update.microsoft.com. Это сайты, на которых будет размещаться обновление, и для установки обновления требуется элемент управления ActiveX.
Вопросы и ответы
Что такое область уязвимости?
Это уязвимость межсайтовых сценариев (XSS), которая может привести к повышению привилегий.
Что вызывает уязвимость?
Уязвимость возникает, когда ASP.NET MVC не удалось правильно закодировать входные данные.
Что такое компонент, пострадавший от уязвимости?
System.Web.Mvc.dll является компонентом, затронутым уязвимостью.
Что такое межсайтовый скрипт (XSS)?
Межсайтовый скрипт (XSS) — это класс уязвимости безопасности, который позволяет злоумышленнику внедрять скрипт в ответ на веб-запрос. Затем этот скрипт запускается запрашивающим приложением, часто в веб-браузере. Затем скрипт может спуфинировать содержимое, раскрыть информацию или предпринять какие-либо действия, которые пользователь может предпринять на затронутом веб-сайте от имени целевого пользователя.
Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался этой уязвимостью, может внедрить клиентский скрипт в экземпляр Обозреватель пользователя. Скрипт может спуфинировать содержимое, раскрыть информацию или предпринять какие-либо действия, которые пользователь мог предпринять на сайте от имени целевого пользователя.
Как злоумышленник может воспользоваться уязвимостью?
В веб-сценарии атаки злоумышленник может убедить пользователя посетить веб-страницу, содержащую специально созданное содержимое, предназначенное для использования уязвимости.
Какие системы в первую очередь подвергаются риску от уязвимости?
Серверы, работающие под управлением затронутых версий ASP.NET MVC, в основном подвергаются риску от этой уязвимости.
Что делает обновление?
Обновление устраняет уязвимость, исправляя способ обработки кодировки входных данных ASP.NET MVC.
Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
Да. Эта уязвимость была публично раскрыта. Было назначено общее число уязвимостей и уязвимостей CVE-2014-4075.
Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов при первоначальном выпуске этого бюллетеня по безопасности.
Средства обнаружения и развертывания и рекомендации
Несколько ресурсов помогают администраторам развертывать обновления системы безопасности.
- Анализатор безопасности Microsoft Base (МБ SA) позволяет администраторам проверять локальные и удаленные системы для отсутствия обновлений безопасности и распространенных ошибок в настройке безопасности.
- Службы обновления Windows Server (WSUS), сервер управления системами (SMS) и System Center Configuration Manager помогают администраторам распространять обновления безопасности.
- Компоненты средства оценки совместимости обновлений, включенные в состав набор средств совместимости приложений, упрощают тестирование и проверку обновлений Windows в установленных приложениях.
Сведения об этих и других средствах, доступных, см. в разделе "Средства безопасности для ИТ-специалистов".
Развертывание обновлений безопасности
ASP.NET MVC 2.0
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
| Обзор | Обновление для ASP.NET MVC 2.0 предоставляется с помощью автоматического обновления, а также доступно для ручной установки через Центр загрузки Майкрософт. |
|---|---|
| Сведения об установке | |
| Имя файла пакета DLC и ссылка на скачивание | AspNetMVC2.msi |
| Имя файла пакета NuGet | Нет данных |
| Процедура обновления NuGet | Нет данных |
| Воздействие | Установка этого обновления приведет к перезапуску IIS. |
| Требование перезапуска | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение происходит, появится сообщение, которое советует перезапустить. |
| Сведения об удалении | Чтобы удалить это обновление, необходимо использовать элемент "Добавить или удалить программы" в панель управления для удаления ASP.NET полного продукта MVC 2 (Microsoft ASP.NET MVC 2), а затем установить предыдущую версию продукта. |
| Обновление сведений | См. статью базы знаний Майкрософт 2993939 |
| Установка проверки подлинности | Используйте элемент "Добавить или удалить программы" в панель управления и найдите Microsoft ASP.NET MVC2. Установлена версия 2.0.60926.0. |
ASP.NET MVC 3.0
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
| Обзор | Обновление для ASP.NET MVC 3.0 предоставляется с помощью автоматического обновления, а также доступно для ручной установки через Центр загрузки Майкрософт или NuGet. |
|---|---|
| Сведения об установке | |
| Имя файла пакета DLC и ссылка на скачивание | AspNetMVC3.msi |
| Имя файла пакета NuGet | Microsoft.AspNet.Mvc.3.0.50813.1.nupkg |
| Процедура обновления NuGet | Обновите пакеты проектов Visual Studio с помощью NuGet, перекомпилируйте приложение и разверните 1. Откройте решение в Visual Studio. 2. В Обозреватель решений щелкните правой кнопкой мыши узел "Ссылки" и выберите пункт "Управление пакетами NuGet". 3. Выберите вкладку Обновления. Список пакетов с обновлениями отображается в центральной области. 4. Выберите пакет обновления для вашей версии ASP.NET MVC и нажмите кнопку "Обновить". 5. Скомпилируйте и разверните веб-приложение. Дополнительные сведения об управлении пакетами NuGet с помощью диалогового окна NuGet см. в разделе "Управление пакетами NuGet с помощью диалогового окна". |
| Воздействие | Установка этого обновления приведет к перезапуску IIS. |
| Требование перезапуска | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение происходит, появится сообщение, которое советует перезапустить. |
| Сведения об удалении | Чтобы удалить это обновление, необходимо использовать элемент "Добавить или удалить программы" в панель управления для удаления полного ASP.NET продукта MVC 3 (Microsoft ASP.NET MVC 3), а затем установить предыдущую версию продукта. |
| Обновление сведений | См. статью базы знаний Майкрософт 2993937 |
| Установка проверки подлинности | Используйте элемент "Добавить или удалить программы" в панель управления и найдите microsoft ASP.NET MVC 3. Установленная версия — 3.0.50813.0. Для обновления NuGet версия файла развернутого двоичного файла — 3.0.50813.0. |
ASP.NET MVC 4.0
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
| Обзор | Обновление для ASP.NET MVC 4.0 предоставляется с помощью автоматического обновления, а также доступно для ручной установки через Центр загрузки Майкрософт или NuGet. |
|---|---|
| Сведения об установке | |
| Имя файла пакета DLC и ссылка на скачивание | AspNetMVC4.msi |
| Имя файла пакета NuGet | Microsoft.AspNet.Mvc.4.0.40804.0.nupkg |
| Процедура обновления NuGet | Обновите пакеты проектов Visual Studio с помощью NuGet, перекомпилируйте приложение и разверните 1. Откройте решение в Visual Studio. 2. В Обозреватель решений щелкните правой кнопкой мыши узел "Ссылки" и выберите пункт "Управление пакетами NuGet". 3. Выберите вкладку Обновления. Список пакетов с обновлениями отображается в центральной области. 4. Выберите пакет обновления для вашей версии ASP.NET MVC и нажмите кнопку "Обновить". 5. Скомпилируйте и разверните веб-приложение. Дополнительные сведения об управлении пакетами NuGet с помощью диалогового окна NuGet см. в разделе "Управление пакетами NuGet с помощью диалогового окна". |
| Воздействие | Установка этого обновления приведет к перезапуску IIS. |
| Требование перезапуска | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение происходит, появится сообщение, которое советует перезапустить. |
| Сведения об удалении | Чтобы удалить это обновление, необходимо использовать элемент "Добавить или удалить программы" в панель управления для удаления ASP.NET полного продукта MVC 4 (Microsoft ASP.NET MVC 4 Runtime), а затем установить предыдущую версию продукта. |
| Обновление сведений | См. статью базы знаний Майкрософт 2993928 |
| Установка проверки подлинности | Используйте элемент "Добавить или удалить программы" в панель управления и найдите среду выполнения Microsoft ASP.NET MVC 4. Установленная версия — 4.0.40804.0. Для обновления NuGet версия файла развернутого двоичного файла — 4.0.40804.0. |
ASP.NET MVC 5.0
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
| Обзор | Обновление для ASP.NET MVC 5.0 доступно для ручной установки через Центр загрузки Майкрософт или NuGet. Это исправление для продукта ASP.NET MVC 5.0. |
|---|---|
| Сведения об установке | |
| Имя файла пакета DLC и ссылка на скачивание | AspNetWebFxUpdate_КБ 2992080.msi |
| Имя файла пакета NuGet | Microsoft.AspNet.Mvc.5.0.2.nupkg |
| Процедура обновления NuGet | Обновите пакеты проектов Visual Studio с помощью NuGet, перекомпилируйте приложение и разверните 1. Откройте решение в Visual Studio. 2. В Обозреватель решений щелкните правой кнопкой мыши узел "Ссылки" и выберите пункт "Управление пакетами NuGet". 3. Выберите вкладку Обновления. Список пакетов с обновлениями отображается в центральной области. 4. Выберите пакет обновления для вашей версии ASP.NET MVC и нажмите кнопку "Обновить". 5. Скомпилируйте и разверните веб-приложение. Дополнительные сведения об управлении пакетами NuGet с помощью диалогового окна NuGet см. в разделе "Управление пакетами NuGet с помощью диалогового окна". |
| Воздействие | Установка этого обновления приведет к перезапуску IIS. |
| Требование перезапуска | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение происходит, появится сообщение, которое советует перезапустить. |
| Сведения об удалении | Используйте элемент "Добавить или удалить программы" в панель управления и щелкните правой кнопкой мыши, чтобы удалить обновление. Отображаемое имя обновления будет microsoft ASP.NET Web Frameworks 5.0 для системы безопасности (КБ 2992080). |
| Обновление сведений | См. статью базы знаний Майкрософт 2992080 |
| Установка проверки подлинности | Используйте элемент "Добавить или удалить программы" в панель управления и найдите центр обновления безопасности Microsoft ASP.NET Web Frameworks 5.0 (КБ 2992080). Для обновления NuGet версия файла развернутого двоичного файла — 5.0.20821.0. |
ASP.NET MVC 5.1
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
| Обзор | Обновление для ASP.NET MVC 5.1 доступно для ручной установки через Центр загрузки Майкрософт или NuGet. Это исправление для продукта ASP.NET MVC 5.1. |
|---|---|
| Сведения об установке | |
| Имя файла пакета DLC и ссылка на скачивание | AspNetWebFxUpdate_КБ 2994397.msi |
| Имя файла пакета NuGet | Microsoft.AspNet.Mvc.5.1.3.nupkg |
| Процедура обновления NuGet | Обновите пакеты проектов Visual Studio с помощью NuGet, перекомпилируйте приложение и разверните 1. Откройте решение в Visual Studio. 2. В Обозреватель решений щелкните правой кнопкой мыши узел "Ссылки" и выберите пункт "Управление пакетами NuGet". 3. Выберите вкладку Обновления. Список пакетов с обновлениями отображается в центральной области. 4. Выберите пакет обновления для вашей версии ASP.NET MVC и нажмите кнопку "Обновить". 5. Скомпилируйте и разверните веб-приложение. Дополнительные сведения об управлении пакетами NuGet с помощью диалогового окна NuGet см. в разделе "Управление пакетами NuGet с помощью диалогового окна". |
| Воздействие | Установка этого обновления приведет к перезапуску IIS. |
| Требование перезапуска | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение происходит, появится сообщение, которое советует перезапустить. |
| Сведения об удалении | Используйте элемент "Добавить или удалить программы" в панель управления и щелкните правой кнопкой мыши, чтобы удалить обновление. Отображаемое имя обновления будет microsoft ASP.NET Web Frameworks 5.1 с обновлением системы безопасности (КБ 2994397). |
| Обновление сведений | См. статью базы знаний Майкрософт 2994397 |
| Установка проверки подлинности | Используйте элемент "Добавить или удалить программы" в панель управления и найдите центр обновления безопасности Microsoft ASP.NET Web Frameworks 5.1 (КБ 2994397). Для обновления NuGet версия файла развернутого двоичного файла — 5.1.20821.0. |
Другие сведения
Программа Microsoft Active Protections (MAPP)
Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, перейдите на веб-сайты активных защиты, предоставляемые партнерами программы, перечисленными в программе Microsoft Active Protections Program (MAPP).
Поддержка
Получение справки и поддержки для этого обновления системы безопасности
- Справка по установке обновлений: поддержка Центра обновления Майкрософт
- Решения по безопасности для ИТ-специалистов: устранение неполадок и поддержка безопасности TechNet
- Защита компьютера под управлением Windows от вирусов и вредоносных программ: решение для вирусов и центра безопасности
- Локальная поддержка в соответствии с вашей страной: международная поддержка
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- V1.0 (14 октября 2014 г.): бюллетень опубликован.
Страница создана 2014-10-15 12:02Z-07:00.