Microsoft 安全性布告欄 MS16-155 - 重要
.NET Framework 的安全性更新 (3205640)
發佈時間: 2016 年 12 月 13 日 |更新日期:2017 年 2 月 23 日
版本: 2.1
執行摘要
此安全性更新可解決 Microsoft .NET 4.6.2 Framework Data Provider for SQL Server 中的弱點。 Microsoft .NET Framework 4.6.2 中存在安全性弱點,可讓攻擊者存取 Always Encrypted 功能所防護的資訊。
此安全性更新已評為 Microsoft .NET Framework 4.6.2 的重要專案。 如需詳細資訊,請參閱受影響的軟體和弱點嚴重性評等一節。
安全性更新可藉由更正 .NET Framework 處理開發人員提供的密鑰的方式來解決弱點,因此可適當地保護數據。
如需詳細資訊,請參閱受影響的軟體和弱點嚴重性評等一節。
如需此更新的詳細資訊,請參閱 Microsoft 知識庫文章3205640。
受影響的軟體和弱點嚴重性評等
下列軟體版本或版本受到影響。 未列出的版本或版本要麼超過其支援生命周期,要麼不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱 Microsoft 支援服務 生命週期。
針對每個受影響的軟體所指出的嚴重性評等會假設弱點的潛在最大影響。 如需有關此安全性布告欄發行 30 天內有關弱點嚴重性評等和安全性影響之惡意探索性的資訊,請參閱 12 月公告摘要中的惡意探索性索引。
注意:如需取用安全性更新資訊的新方法,請參閱 安全性更新指南 。 您可以自定義檢視並建立受影響的軟體電子錶格,以及透過 Restful API 下載數據。 如需詳細資訊,請參閱安全性 更新 指南常見問題。 提醒您,自 2017 年 2 月起,《安全性 更新 指南》將取代安全公告。 如需詳細資訊,請參閱我們的部落格文章: 進一步致力於安全性更新。
Microsoft .NET Framework - 僅限安全性版本[1]
| 作業系統 | 元件 | .NET 資訊洩漏弱點 - CVE-2016-7270 | 更新 已取代 |
|---|---|---|---|
| Windows 7 和 Windows Server 2008 R2 Microsoft .NET Framework 更新 for 4.6.2 (KB3205406)[2] | |||
| Windows 7 | |||
| Windows 7 for 32 位系統 Service Pack 1 | Microsoft .NET Framework 4.6.2 (3204805) | 重要資訊 洩漏 | 無 |
| Windows 7 for x64 型系統 Service Pack 1 | Microsoft .NET Framework 4.6.2 (3204805) | 重要資訊 洩漏 | 無 |
| Windows Server 2008 R2 | |||
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 | Microsoft .NET Framework 4.6.2 (3204805) | 重要資訊 洩漏 | 無 |
| Windows Server 2012 Microsoft .NET Framework 更新 for 4.6.2 (KB3205407)[2] | |||
| Windows Server 2012 | Microsoft .NET Framework 4.6.2 (3204801) | 重要資訊 洩漏 | 無 |
| Windows 8.1 和 Windows Server 2012 R2 Microsoft .NET Framework 更新 for 4.6.2 (KB3205410)[2] | |||
| Windows 8.1 | |||
| Windows 8.1 for 32 位系統 | Microsoft .NET Framework 4.6.2 (3204802) | 重要資訊 洩漏 | 無 |
| 適用於 x64 型系統的 Windows 8.1 | Microsoft .NET Framework 4.6.2 (3204802) | 重要資訊 洩漏 | 無 |
| Windows 2012 R2 | |||
| Windows Server 2012 R2 | Microsoft .NET Framework 4.6.2 (3204802) | 重要資訊 洩漏 | 無 |
| Windows 10 | |||
| 適用於 32 位系統的 Windows 10 版本 1607[3](3206632) | Microsoft .NET Framework 4.6.2 | 重要資訊 洩漏 | 3200970 |
| 適用於 x64 型系統的 Windows 10 版本 1607[3](3206632) | Microsoft .NET Framework 4.6.2 | 重要資訊 洩漏 | 3200970 |
| 適用於 x64 型系統的 Windows Server 2016[3](3206632) | Microsoft .NET Framework 4.6.2 | 重要資訊 洩漏 | 3200970 |
| Server Core 安裝選項 | |||
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) | Microsoft .NET Framework 4.6.2 (3204805) | 重要資訊 洩漏 | 無 |
| Windows Server 2012 (Server Core 安裝) | Microsoft .NET Framework 4.6.2 (3204801) | 重要資訊 洩漏 | 無 |
| Windows Server 2012 R2 (Server Core 安裝) | Microsoft .NET Framework 4.6.2 (3204802) | 重要資訊 洩漏 | 無 |
| 適用於 x64 型系統的 Windows Server 2016(Server Core 安裝)[3](3206632) | Microsoft .NET Framework 4.6.2 | 重要資訊 洩漏 | 3200970 |
[1]從 2016 年 10 月版本開始,Microsoft 已變更 Microsoft .NET Framework 的更新服務模型。 如需詳細資訊,請參閱此 Microsoft .NET 部落格文章。
[2]這個數位是父封裝 KB 編號。 使用者將會提供父 KB;不過,針對每個平臺列出的套件 KB 編號會顯示在 [新增移除程式] 中。
[3]Windows 10 更新是累積的。 除了非安全性更新之外,每月安全性版本還包含影響 Windows 10 之弱點的所有安全性修正程式。 更新可透過 Microsoft Update Catalog 取得。 請注意,自 2016 年 12 月 13 日起,累積 更新 的 Windows 10 和 Windows Server 2016 詳細數據將會記載於版本資訊中。 請參閱OS組建編號、已知問題及受影響的檔案清單資訊版本資訊。
注意 此公告中討論的弱點會影響 Windows Server 2016 Technical Preview 5。 雖然透過 Windows Update 提供 Windows Server 2016 Technical Preview 5 的更新,但 Microsoft 建議您儘早將客戶升級至 Window Server 2016。
Microsoft .NET Framework - 每月匯總版本[1]
| 作業系統 | 元件 | .NET 資訊洩漏弱點 - CVE-2016-7270 | 更新 已取代 |
|---|---|---|---|
| 適用於 2.0、4.5.2、4.6 的 Windows Vista 和 Windows Server 2008 Microsoft .NET Framework KB3210142 更新[2] | |||
| Windows Vista | |||
| Windows Vista for 32 位系統 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3210129) | 不適用[4] | MS16-120 3163244 MS16-091 中的3188744 |
| Windows Vista for x64 型系統 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3210129) | 不適用[4] | MS16-120 3163244 MS16-091 中的3188744 |
| Windows Vista for 32 位系統 Service Pack 2 | Microsoft .NET Framework 4.5.2 (3210139) | 不適用[4] | MS16-120 中的 3188744 |
| Windows Vista for x64 型系統 Service Pack 2 | Microsoft .NET Framework 4.5.2 (3210139) | 不適用[4] | MS16-120 中的 3188744 |
| Windows Vista for 32 位系統 Service Pack 2 | Microsoft .NET Framework 4.6 (3210136) | 不適用[4] | MS16-120 中的 3188744 |
| Windows Vista for x64 型系統 Service Pack 2 | Microsoft .NET Framework 4.6 (3210136) | 不適用[4] | MS16-120 中的 3188744 |
| Windows Server 2008 | |||
| Windows Server 2008 for 32 位系統 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3210129) | 不適用[4] | MS16-120 3163244 MS16-091 中的3188744 |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3210129) | 不適用[4] | MS16-120 3163244 MS16-091 中的3188744 |
| Windows Server 2008 for Itanium 型系統 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3210129) | 不適用[4] | MS16-120 3163244 MS16-091 中的3188744 |
| Windows Server 2008 for 32 位系統 Service Pack 2 | Microsoft .NET Framework 4.5.2 (3210139) | 不適用[4] | MS16-120 中的 3188744 |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 | Microsoft .NET Framework 4.5.2 (3210139) | 不適用[4] | MS16-120 中的 3188744 |
| Windows Server 2008 for 32 位系統 Service Pack 2 | Microsoft .NET Framework 4.6 (3210136) | 不適用[4] | MS16-120 中的 3188744 |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 | Microsoft .NET Framework 4.6 (3210136) | 不適用[4] | MS16-120 中的 3188744 |
| 適用於 3.5.1、4.5.2、4.6、4.6、4.6.1、4.6.2、4.6.2(KB3205402)[2] 的 Windows 7 和 Windows Server 2008 R2 Microsoft .NET Framework 更新 | |||
| Windows 7 | |||
| Windows 7 for 32 位系統 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3210131) | 不適用[4] | 無 |
| Windows 7 for x64 型系統 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3210131) | 不適用[4] | 無 |
| Windows 7 for 32 位系統 Service Pack 1 | Microsoft .NET Framework 4.5.2 (3210139) | 不適用[4] | 所有先前發行的更新[4] |
| Windows 7 for x64 型系統 Service Pack 1 | Microsoft .NET Framework 4.5.2 (3210139) | 不適用[4] | 所有先前發行的更新[4] |
| Windows 7 for 32 位系統 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1 (3210136) | 不適用[4] | 所有先前發行的更新[4] |
| Windows 7 for x64 型系統 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1 (3210136) | 不適用[4] | 所有先前發行的更新[4] |
| Windows 7 for 32 位系統 Service Pack 1 | Microsoft .NET Framework 4.6.2 (3205379) | 重要資訊 洩漏 | 無 |
| Windows 7 for x64 型系統 Service Pack 1 | Microsoft .NET Framework 4.6.2 (3205379) | 重要資訊 洩漏 | 無 |
| Windows Server 2008 R2 | |||
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3210131) | 不適用[4] | 無 |
| Windows Server 2008 R2 for Itanium 型系統 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3210131) | 不適用[4] | 無 |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 | Microsoft .NET Framework 4.5.2 (3210139) | 不適用[4] | 所有先前發行的更新[4] |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1 (3210136) | 不適用[4] | 所有先前發行的更新[4] |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 | Microsoft .NET Framework 4.6.2 (3205379) | 重要資訊 洩漏 | 無 |
| 適用於 3.5、4.5.2、4.6、4.6.1、4.6.1、4.6.2 的 Windows Server 2012 Microsoft .NET Framework KB3205403 更新[2] | |||
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3210130) | 不適用[4] | 無 |
| Windows Server 2012 | Microsoft .NET Framework 4.5.2 (3210138) | 不適用[4] | 所有先前發行的更新[4] |
| Windows Server 2012 | Microsoft .NET Framework 4.6/4.6.1 (3210133) | 不適用[4] | 所有先前發行的更新[4] |
| Windows Server 2012 | Microsoft .NET Framework 4.6.2 (3205377) | 重要資訊 洩漏 | 無 |
| 適用於 3.5、4.5.2、4.5.2、4.6、4.6.1、4.6.2、4.6.2(KB3205404)[2] 的 Windows 8.1 和 Windows Server 2012 R2 Microsoft .NET Framework 更新 | |||
| Windows 8.1 | |||
| Windows 8.1 for 32 位系統 | Microsoft .NET Framework 3.5 (3210132) | 不適用[4] | 無 |
| 適用於 x64 型系統的 Windows 8.1 | Microsoft .NET Framework 3.5 (3210132) | 不適用[4] | 無 |
| Windows 8.1 for 32 位系統 | Microsoft .NET Framework 4.5.2 (3210137) | 不適用[4] | 所有先前發行的更新[4] |
| 適用於 x64 型系統的 Windows 8.1 | Microsoft .NET Framework 4.5.2 (3210137) | 不適用[4] | 所有先前發行的更新[4] |
| Windows 8.1 for 32 位系統 | Microsoft .NET Framework 4.6/4.6.1 (3210135) | 不適用[4] | 所有先前發行的更新[4] |
| 適用於 x64 型系統的 Windows 8.1 | Microsoft .NET Framework 4.6/4.6.1 (3210135) | 不適用[4] | 所有先前發行的更新[4] |
| Windows 8.1 for 32 位系統 | Microsoft .NET Framework 4.6.2 (3205378) | 重要資訊 洩漏 | 無 |
| 適用於 x64 型系統的 Windows 8.1 | Microsoft .NET Framework 4.6.2 (3205378) | 重要資訊 洩漏 | 無 |
| Windows 8.1 RT | |||
| Windows 8.1 RT | Microsoft .NET Framework 4.5.2 (3210137) | 不適用[4] | 所有先前發行的更新[4] |
| Windows 8.1 RT | Microsoft .NET Framework 4.6/4.6.1 (3210135) | 不適用[4] | 所有先前發行的更新[4] |
| Windows 8.1 RT | Microsoft .NET Framework 4.6.2 (3205378) | 重要資訊 洩漏 | 無 |
| Windows 2012 R2 | |||
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3210132) | 不適用[4] | 無 |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.5.2 (3210137) | 不適用[4] | 所有先前發行的更新[4] |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.6/4.6.1 (3210135) | 不適用[4] | 所有先前發行的更新[4] |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.6.2 (3205378) | 重要資訊 洩漏 | 無 |
| Windows 10 | |||
| 適用於 32 位系統的 Windows 10 版本 1607[3](3206632) | Microsoft .NET Framework 4.6.2 | 重要資訊 洩漏 | 3200970 |
| 適用於 x64 型系統的 Windows 10 版本 1607[3](3206632) | Microsoft .NET Framework 4.6.2 | 重要資訊 洩漏 | 3200970 |
| 適用於 x64 型系統的 Windows Server 2016[3](3206632) | Microsoft .NET Framework 4.6.2 | 重要資訊 洩漏 | 3200970 |
| Server Core 安裝選項 | |||
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) | Microsoft .NET Framework 3.5.1 (3210131) | 不適用[4] | 無 |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) | Microsoft .NET Framework 4.6/4.6.1 (3210136) | 不適用[4] | 所有先前發行的更新[4] |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) | Microsoft .NET Framework 4.6.2 (3205379) | 重要資訊 洩漏 | 無 |
| Windows Server 2012 (Server Core 安裝) | Microsoft .NET Framework 3.5 (3210130) | 不適用[4] | 無 |
| Windows Server 2012 (Server Core 安裝) | Microsoft .NET Framework 4.5.2 (3210138) | 不適用[4] | 所有先前發行的更新[4] |
| Windows Server 2012 (Server Core 安裝) | Microsoft .NET Framework 4.6/4.6.1 (3210133) | 不適用[4] | 所有先前發行的更新[4] |
| Windows Server 2012 (Server Core 安裝) | Microsoft .NET Framework 4.6.2 (3205377) | 重要資訊 洩漏 | 無 |
| Windows Server 2012 R2 (Server Core 安裝) | Microsoft .NET Framework 3.5 (3210132) | 不適用[4] | 無 |
| Windows Server 2012 R2 (Server Core 安裝) | Microsoft .NET Framework 4.5.2 (3210137) | 不適用[4] | 所有先前發行的更新[4] |
| Windows Server 2012 R2 (Server Core 安裝) | Microsoft .NET Framework 4.6/4.6.1 (3210135) | 不適用[4] | 所有先前發行的更新[4] |
| Windows Server 2012 R2 (Server Core 安裝) | Microsoft .NET Framework 4.6.2 (3205378) | 重要資訊 洩漏 | 無 |
| 適用於 x64 型系統的 Windows Server 2016(Server Core 安裝)[3](3206632) | Microsoft .NET Framework 4.6.2 | 重要資訊 洩漏 | 3200970 |
[1]從 2016 年 10 月版本開始,Microsoft 已變更 Microsoft .NET Framework 的更新服務模型。 如需詳細資訊,請參閱此 Microsoft .NET 部落格文章。
[2] 這個數位是父封裝 KB 編號。 使用者將會提供父 KB;不過,針對每個平臺列出的套件 KB 編號會顯示在 [新增移除程式] 中。
[3]Windows 10 更新是累積的。 除了非安全性更新之外,每月安全性版本還包含影響 Windows 10 之弱點的所有安全性修正程式。 更新可透過 Microsoft Update Catalog 取得。 請注意,自 2016 年 12 月 13 日起,累積 更新 的 Windows 10 和 Windows Server 2016 詳細數據將會記載於版本資訊中。 請參閱OS組建編號、已知問題及受影響的檔案清單資訊版本資訊。
[4]Microsoft .NET Framework 2.0、4.5.2 和 4.6/4.6.1 是匯總修補程式,並包含所有先前的更新,以及本月的更新。 如需詳細資訊,請參閱 此頁面 。
注意 此公告中討論的弱點會影響 Windows Server 2016 Technical Preview 5。 Windows Server 2016 Technical Preview 5 可透過 Windows Update 取得更新。 為了防範弱點,Microsoft 建議執行 Windows Server 2016 Technical Preview 5 的客戶升級至 Windows Server 2016。
弱點資訊
.NET Framework 資訊洩漏 Vulnerabiltiy - CVE-2016-7270
Microsoft .NET 4.6.2 Framework 的數據提供者 for SQL Server 中存在資訊洩漏弱點,可讓攻擊者存取應受 Always Encrypted 功能防護的資訊。 當 .NET Framework 不當使用開發人員提供的密鑰時,就會造成此弱點。 當此金鑰被誤用時,也可能會暫時遺失數據存取權。
若要惡意探索弱點,可存取不正確加密數據的攻擊者可能會嘗試使用容易猜到的密鑰來解密數據。
安全性更新可藉由更正 .NET Framework 處理開發人員提供的密鑰的方式來解決弱點,因此可適當地保護數據。
下表包含常見弱點和暴露清單中的弱點標準項目連結:
| 弱點標題 | CVE 號碼 | 公開披露 | 利用 |
|---|---|---|---|
| .NET Framework 資訊洩漏 Vulnerabiltiy | CVE-2016-7270 | 是 | No |
緩和因素
Microsoft 尚未識別此弱點的任何 緩和因素 。
因應措施
下列 因應措施 可能對您的情況有所説明:
您可以藉由設定 Sql 連線 ion 來關閉資料行密鑰加密 (CEK)。.Net Framework 4.6.2 驅動程式中 TimeSpan.Zero 的 ColumnEncryptionKeyCacheTtl 属性。 如需詳細資訊,請參閱 TimeSpan.Zero 字段 。
安全性更新部署
如需安全性更新部署資訊,請參閱執行摘要中參考的 Microsoft 知識庫文章。
通知
Microsoft 可辨識安全性社群中協助我們透過協調弱點洩漏保護客戶的工作。 如需詳細資訊,請參閱通知。
免責聲明
Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
V1.0 (2016 年 12 月 13 日) 公告發佈。
V1.1 (2016 年 12 月 19 日):修訂公告,並修正下列更正:
- 已將適用於 Microsoft .NET Framework 2.0、3.5、3.5.1、4.5.2、4.6 和 4.6.1 的 Microsoft .NET 安全性和質量匯總更新的弱點嚴重性評等變更為不適用,因為這些版本的 .NET Framework 不會受到本公告中所述的弱點影響。
- 已從 [僅限安全性版本] 受影響的軟體數據表中移除 Windows RT,因為它不支援 [僅限安全性] 版本。
- 更新 藉由移除更新3188736做為已取代的更新,更正每月匯總版本中更新3210142的已取代專案。
V2.0 (2016 年 12 月 19 日):已修訂公告,宣佈安全性與品質匯總更新3210142和3205402已重新發行,WSUS 客戶已重新發行偵測變更,該變更會移除這些客戶與先前發行的 10 月僅限安全性更新3188736和3188730。 這些只是偵測變更。 更新檔案沒有變更。 已成功安裝上述任何更新的客戶不需要採取任何動作。 如需詳細資訊,請參閱個別更新的 Microsoft 知識庫文章。
此外,已修訂的公告,宣佈適用於Itanium型系統 Service Pack 2 的 Windows Server 2008 更新3210142,且適用於 Itanium 型系統 Service Pack 1 的 Windows Server 2008 R2 提供該更新3205402。 客戶應套用適用的更新,以免受到本公告所討論弱點的保護。 大部分的客戶都已啟用自動更新,而且不需要採取任何動作,因為會自動下載並安裝更新。
- V2.1 (2017 年 2 月 23 日):修訂公告公告,宣佈每月匯總發行KB3205403和每月匯總發行KB3205404的偵測邏輯變更。 這隻是參考性變更。 已成功更新其系統的客戶不需要採取任何動作。
頁面產生的 2017-02-23 12:54-08:00。