.NET3.5 패치 KB951847(MBSA당)이 필요한 서버가 하나 있는데 취약점 검사에서 필요에 따라 해당 패치를 보고하지 않습니다. 세부 정보: 서버 W2003에 .NET4.0이 설치되어 있지만 MBSA에서 설치해야 한다고 알려줍니다. .NET 3.5를 설치하는 KB 951847 패치, 이유는 무엇입니까? .NET2 SP2와 .NET 4만 설치했는데 .NET 4.0으로 인해 .NET 3.5가 관련성이 없어지면 안 됩니까?
- 서버 W2003 SP2(x86) - Nessus 스캔에는 .NET 취약점이 표시되지 않습니다.
이 불일치를 해결하도록 도와주세요. 불필요한 소프트웨어(.NET 3.5)를 설치하지 않으려고 노력하고 있습니다.
감사합니다 :)
답변1
.NET 3.0/3.5/3.5 SP1은 .NET 2.0에 대한 DLL/기능 추가/최적화였습니다.
내부적으로 이러한 모든 버전의 .NET은 동일한 핵심 CLR(공용 언어 런타임) 실행 파일을 사용합니다. 따라서 컴퓨터에 .NET 2.0 SP2가 존재하는 것만으로도 MBSA가 표시하는 취약점을 노출시킬 수 있습니다.
.NET 4.0을 통해 Microsoft는 실제로 CLR을 다시 작성하여 새롭고 별도의 실행 파일을 만들었습니다. 컴퓨터에 4.0만 있었다면 아마도 이 패치에 대한 플래그가 지정되지 않았을 것입니다.
이 TechNet 문서에서는 .NET 2.0과 3.0/3.5/3.5 SP1 간의 관계를 다음과 같이 설명합니다.
.NET Framework 3.5.1 기능 개요
답변2
Scott Hanselman은 자신의 블로그 항목에서 .NET 버전 관리를 훌륭하게 설명하고 있습니다.
.NET 버전 관리 및 다중 타겟팅 - .NET 4.5는 .NET 4.0에 대한 전체 업그레이드입니다..
즉, .NET 3.5는 .NET 2에 대한 전체 업그레이드이므로 설치가 필요합니다. 그는 또한 IIS 중심이지만 .NET 2.0과 .NET 3.5 간의 관계를 설명하는 훌륭한 정보를 제공하는 또 다른 블로그 항목을 가지고 있습니다.
답변3
취약점 검색에는 거짓 긍정(false positives)과 거짓 부정(false negatives)이라는 두 가지 문제가 있습니다.
이것이 항상 결과를 확인해야 하는 이유이며, 취약성 검색 외에도 적절한 침투 테스트 산업이 번창하는 이유입니다.
일반적으로 MBSA는 종속성을 분류하는 데 매우 능숙하므로 응용 프로그램 중 하나의 일부로 .NET의 일부가 설치되어 있을 수도 있습니다.
답변4
.net의 각기 다른 주요 버전(2.0, 3.0, 3.5, 4.0)은 완전히 별개이며 고유한 업데이트 세트가 필요합니다. .NET 3.5를 사용하는 앱이 있는 경우 4.0이 있더라도 여전히 3.5가 필요합니다.
설치된 모든 .NET 버전에 대한 보안 업데이트를 설치해야 합니다. .NET 3.5를 사용하지 않는 경우 제거할 수 있습니다.