MBSA zeigt an, dass der Server .NET 3.5 benötigt, aber auf dem Server ist .NET 4.0 bereits installiert

tag-icon tag-icon .net
MBSA zeigt an, dass der Server .NET 3.5 benötigt, aber auf dem Server ist .NET 4.0 bereits installiert

Ich habe einen Server, der einen .NET3.5-Patch KB951847 (laut MBSA) erfordert, aber der Schwachstellenscan meldet diesen Patch nicht als erforderlich ... die Details: Auf Server W2003 ist .NET4.0 installiert, aber MBSA sagt mir, dass ich den Patch KB 951847 installieren muss, der .NET 3.5 installiert. Warum? Ich habe NUR .NET2 SP2 und .NET 4 installiert, also sollte .NET 4.0 .NET 3.5 nicht irrelevant machen?

-Server W2003 SP2 (x86) -Nessus-Scan zeigt keine .NET-Schwachstellen

Bitte helfen Sie mir, diese Diskrepanz zu beheben. Ich versuche, die Installation unnötiger Software (.NET 3.5) zu vermeiden.

Danke :)

Antwort1

.NET 3.0/3.5/3.5 SP1 waren DLL-/Funktionserweiterungen/Optimierungen auf Basis von .NET 2.0.

Intern verwenden alle diese Versionen von .NET dieselbe ausführbare CLR-Kerndatei (Common Language Runtime). Daher reicht allein die Anwesenheit von .NET 2.0 SP2 auf Ihrem Computer aus, um die von MBSA gemeldete Sicherheitslücke aufzudecken.

Mit .NET 4.0 hat Microsoft die CLR tatsächlich neu geschrieben und eine neue, separate ausführbare Datei erstellt. Wenn Sie nur 4.0 auf dem Computer hätten, würden Sie wahrscheinlich nicht für diesen Patch markiert werden.

Dieser TechNet-Artikel erläutert die Beziehung zwischen .NET 2.0 und 3.0/3.5/3.5 SP1 etwas:
Übersicht über die Funktionen von .NET Framework 3.5.1

Antwort2

Scott Hanselman erklärt die Versionierung von .NET in seinem Blogeintrag hervorragend:

.NET-Versionierung und Multi-Targeting - .NET 4.5 ist ein direktes Upgrade auf .NET 4.0.

Kurz gesagt, .NET 3.5 ist ein direktes Upgrade von .NET 2 und muss deshalb installiert werden. Er hat auch einen weiteren Blogeintrag, der zwar IIS-zentriert ist, aber großartige Informationen zur Beziehung zwischen .NET 2.0 und .NET 3.5 enthält.

So legen Sie eine IIS-Anwendung oder einen AppPool so fest, dass ASP.NET 3.5 statt 2.0 verwendet wird

Antwort3

Bei Schwachstellenscans treten mehrere Probleme auf: Falsch-Positive und Falsch-Negative.

Aus diesem Grund müssen Sie die Ergebnisse stets überprüfen und deshalb gibt es neben Schwachstellenscans auch eine florierende Branche für richtige Penetrationstests.

Im Allgemeinen ist MBSA recht gut darin, Abhängigkeiten zu klären. Möglicherweise haben Sie also Teile von .NET als Teil einer Ihrer Anwendungen installiert.

Antwort4

Jede Hauptversion von .net (2.0, 3.0, 3.5, 4.0) ist völlig unabhängig und erfordert eigene Updates. Wenn Sie eine App haben, die .NET 3.5 verwendet, benötigen Sie auch dann noch 3.5, wenn Sie 4.0 haben.

Sie müssen die Sicherheitsupdates für ALLE Versionen von .NET installieren, die Sie installiert haben. Wenn Sie .NET 3.5 nicht verwenden, können Sie es deinstallieren

verwandte Informationen