MBSA показывает, что серверу требуется .NET 3.5, но на сервере уже установлен .NET 4.0

.NET 3.0/3.5/3.5 SP1 представляли собой дополнения/оптимизации DLL/функций поверх .NET 2.0.

Внутри все эти версии .NET используют один и тот же исполняемый файл ядра CLR (Common Language Runtime). Поэтому одного лишь наличия .NET 2.0 SP2 на вашем компьютере достаточно, чтобы обнаружить уязвимость, которую отмечает MBSA.

С .NET 4.0 Microsoft фактически переписала CLR, создав новый, отдельный исполняемый файл. Если бы у вас на машине был только 4.0, вы, вероятно, не были бы отмечены этим патчем.

В этой статье TechNet в некоторой степени объясняется связь между .NET 2.0 и 3.0/3.5/3.5 SP1:
Обзор возможностей .NET Framework 3.5.1

Скотт Хансельман прекрасно объясняет версионность .NET в своей записи в блоге:

Управление версиями и многоцелевое использование .NET — .NET 4.5 — это обновление на месте до .NET 4.0.

Короче говоря, .NET 3.5 — это обновление на месте до .NET 2, поэтому его нужно установить. У него также есть другая запись в блоге, которая, хотя и сосредоточена на IIS, содержит отличную информацию, объясняющую связь между .NET 2.0 и .NET 3.5.

Как настроить приложение IIS или AppPool на использование ASP.NET 3.5 вместо 2.0

Сканирование уязвимостей имеет ряд проблем: ложные срабатывания и ложные отрицательные результаты.

Вот почему вам всегда нужно проверять результаты, и вот почему существует процветающая отрасль надлежащего тестирования на проникновение, в дополнение к сканированию уязвимостей.

Как правило, MBSA довольно хорошо справляется с сортировкой зависимостей, поэтому, возможно, у вас установлены части .NET как часть одного из приложений.

Каждая из основных версий .net (2.0, 3.0, 3.5, 4.0) полностью отделена и требует собственного набора обновлений. Если у вас есть приложение, использующее .NET 3.5, вам все равно нужна версия 3.5, даже если у вас есть 4.0.

Вам необходимо установить обновления безопасности для ВСЕХ версий .NET, которые у вас установлены. ЕСЛИ вы не используете .NET 3.5, вы можете удалить его