MBSA显示服务器需要.NET 3.5,但服务器已经安装了.NET 4.0
我有一个服务器需要一个.NET3.5修补程序KB951847 (每个MBSA),但是漏洞扫描并不会根据需要报告该修补程序。详细信息:服务器W2003已经安装了.NET4.0,但MBSA告诉我,我需要安装安装.NET 3.5的KB 951847修补程序,为什么?我只安装了.NET2 SP2和.NET 4,所以.NET 4.0不应该使.NET 3.5不相关吗?
-Server W2003 SP2 (x86) -Nessus扫描没有显示任何.NET漏洞
请帮助我解决这个差异,我试图避免安装一个不必要的软件(.NET 3.5)。
谢谢您:)
回答 4
Server Fault用户
发布于 2013-12-07 18:03:09
.NET 3.0/3.5/3.5 SP1是在.NET 2.0之上的DLL/特性添加/优化。
在内部,所有这些版本的.NET都使用相同的核心CLR (公共语言运行时)可执行文件。因此,仅在您的计算机上存在.NET 2.0 SP2就足以暴露MBSA正在下降的漏洞。
使用.NET 4.0,微软实际上重写了CLR,创建了一个新的单独的可执行文件.如果您的机器上只有4.0,您可能不会被标记为此修补程序。
这篇TechNet文章在一定程度上解释了.NET 2.0和3.0/3.5/3.5 SP1之间的关系:
Server Fault用户
发布于 2013-12-07 15:57:49
Scott在他的博客文章中出色地解释了.NET的版本:
简而言之,.NET 3.5是对.NET 2的就地升级,所以需要安装它。他还有另一篇博客文章,虽然以.NET为中心,但有很好的信息解释了IIS2.0和.NET 3.5之间的关系。
Server Fault用户
发布于 2013-12-05 16:25:07
漏洞扫描有两个问题:假阳性和假阴性。
这就是为什么除了漏洞扫描之外,您总是需要检查结果,以及为什么在适当的渗透测试方面有一个蓬勃发展的行业。
通常,MBSA非常擅长处理依赖关系,因此您可能已经安装了部分.NET,作为您的应用程序的一部分。
https://serverfault.com/questions/559597
复制
腾讯云开发者
