Tengo un servidor que requiere un parche .NET3.5 KB951847 (según MBSA) pero el escaneo de vulnerabilidades no informa ese parche según sea necesario... los detalles: El servidor W2003 tiene .NET4.0 instalado pero MBSA me dice que necesito instalarlo Parche KB 951847 que instala .NET 3.5, ¿por qué? SÓLO he instalado .NET2 SP2 y .NET 4, por lo que .NET 4.0 no debería hacer que .NET 3.5 sea irrelevante.
-Servidor W2003 SP2 (x86) -El escaneo de Nessus no muestra ninguna vulnerabilidad .NET
Por favor ayúdenme a resolver esta discrepancia, estoy tratando de evitar instalar un software innecesario (.NET 3.5).
Gracias :)
Respuesta1
.NET 3.0/3.5/3.5 SP1 fueron optimizaciones/adiciones de funciones/DLL además de .NET 2.0.
Internamente, todas estas versiones de .NET utilizan el mismo ejecutable principal CLR (Common Language Runtime). Entonces, solo la presencia de .NET 2.0 SP2 en su máquina es suficiente para exponer la vulnerabilidad que MBSA está señalando.
Con .NET 4.0, Microsoft reescribió el CLR y creó un ejecutable nuevo e independiente. Si solo tuviera 4.0 en la máquina, probablemente no lo marcarían para este parche.
Este artículo de TechNet explica un poco la relación entre .NET 2.0 y 3.0/3.5/3.5 SP1:
Descripción general de las características de .NET Framework 3.5.1
Respuesta2
Scott Hanselman hace un excelente trabajo explicando el control de versiones de .NET en su entrada de blog:
Control de versiones y orientación múltiple de .NET: .NET 4.5 es una actualización local a .NET 4.0.
En resumen, .NET 3.5 es una actualización local de .NET 2, por eso es necesario instalarlo. También tiene otra entrada de blog que, si bien se centra en IIS, contiene excelente información que explica la relación entre .NET 2.0 y .NET 3.5.
Cómo configurar una aplicación IIS o AppPool para usar ASP.NET 3.5 en lugar de 2.0
Respuesta3
Los análisis de vulnerabilidades sufren de un par de problemas: falsos positivos y falsos negativos.
Es por eso que siempre es necesario verificar los resultados y por qué existe una industria próspera en las pruebas de penetración adecuadas, además del escaneo de vulnerabilidades.
Generalmente, MBSA es bastante bueno para clasificar dependencias, por lo que quizás tenga partes de .NET instaladas como parte de una de sus aplicaciones.
Respuesta4
Cada versión principal diferente de .net (2.0, 3.0, 3.5, 4.0) es completamente independiente y requiere su propio conjunto de actualizaciones. Si tiene una aplicación que usa .NET 3.5, aún necesita 3.5 incluso si tiene 4.0.
Debe instalar las actualizaciones de seguridad para TODAS las versiones de .NET que haya instalado. SI no estás usando .NET 3.5 puedes desinstalarlo