Назад | Перейти на главную страницу

MBSA показывает, что серверу требуется .NET 3.5, но на сервере уже установлена ​​.NET 4.0

У меня есть один сервер, для которого требуется патч .NET3.5 KB951847 (для MBSA), но сканирование уязвимостей не сообщает об этом патче по мере необходимости ... подробности: на сервере W2003 установлена ​​.NET4.0, но MBSA сообщает мне, что мне нужно установить Патч KB 951847, устанавливающий .NET 3.5, почему? Я установил ТОЛЬКО .NET2 SP2 и .NET 4, поэтому .NET 4.0 не должен делать .NET 3.5 несущественным?

-Сервер W2003 SP2 (x86) -Сканер Nessus не обнаруживает уязвимостей .NET.

пожалуйста, помогите мне устранить это несоответствие, я стараюсь не устанавливать ненужное программное обеспечение (.NET 3.5).

Спасибо :)

.NET 3.0 / 3.5 / 3.5 SP1 были DLL / дополнениями / оптимизацией функций поверх .NET 2.0.

Внутри все эти версии .NET используют один и тот же основной исполняемый файл CLR (Common Language Runtime). Итак, просто наличия .NET 2.0 SP2 на вашем компьютере достаточно, чтобы выявить уязвимость, которую отмечает MBSA.

В .NET 4.0 Microsoft фактически переписала CLR, создав новый отдельный исполняемый файл. Если бы у вас была только версия 4.0, вы, вероятно, не получили бы отметку об этом патче.

В этой статье TechNet несколько объясняется взаимосвязь между .NET 2.0 и 3.0 / 3.5 / 3.5 SP1:
Обзор возможностей .NET Framework 3.5.1

Скотт Хансельман отлично объяснил управление версиями .NET в своей записи в блоге:

Управление версиями .NET и множественное нацеливание - .NET 4.5 - это обновление на месте до .NET 4.0.

Короче говоря, .NET 3.5 - это обновление на месте до .NET 2, поэтому его необходимо установить. У него также есть еще одна запись в блоге, которая, хотя и ориентирована на IIS, содержит отличную информацию, объясняющую взаимосвязь между .NET 2.0 и .NET 3.5.

Как настроить приложение IIS или AppPool для использования ASP.NET 3.5, а не 2.0

Сканирование уязвимостей страдает от нескольких проблем: ложных срабатываний и ложных отрицательных результатов.

Вот почему вам всегда нужно проверять результаты, и почему существует процветающая отрасль надлежащего тестирования на проникновение в дополнение к сканированию уязвимостей.

Как правило, MBSA довольно хорошо разбирается в зависимостях, поэтому, возможно, у вас есть части .NET, установленные как часть одного из ваших приложений.

Каждая основная версия .net (2.0, 3.0, 3.5, 4.0) полностью отделена и требует собственного набора обновлений. Если у вас есть приложение, использующее .NET 3.5, вам все равно понадобится 3.5, даже если у вас 4.0.

Вам необходимо установить обновления безопасности для ВСЕХ установленных вами версий .NET. ЕСЛИ вы не используете .NET 3.5, вы можете удалить его