Microsoft 資訊安全公告 MS14-059 - 重要

ASP.NET MVC 中的資訊安全風險可能會允許資訊安全功能略過 (2990942)

發行日期: 2014 年 10 月 14 日

版本: 1.0

一般資訊

提要

這個資訊安全更新可解決 ASP.NET MVC 中一項公開揭露的資訊安全風險。如果攻擊者設法讓使用者按下蓄意製作的連結,或造訪含有為利用此資訊安全風險而設計之蓄意製作內容的網頁,這個資訊安全風險可能會允許資訊安全功能略過。在網頁式攻擊案例中,攻擊者可能架設一個為了透過網頁瀏覽器利用此資訊安全風險而蓄意製作的網站,然後引誘使用者檢視該網站。攻擊者也可能利用受侵害的網站,以及接受或裝載使用者提供內容或廣告的網站。這些網站可能含有經過蓄意製作並利用此資訊安全風險的內容。但是,攻擊者無法強迫使用者檢視受攻擊者控制的內容, 而是引誘使用者自行前往。一般的做法是設法讓使用者點選電子郵件訊息或 Instant Messenger 中通往攻擊者網站的連結,或設法讓他們開啟經由電子郵件傳送的附件。

對於 ASP.NET MVC 2、ASP.NET MVC 3、ASP.NET MVC 4、ASP.NET MVC 5 和 APS.NET MVC 5.1,此資訊安全更新的等級為「重要」。如需詳細資訊,請參閱此公告的<受影響軟體>一節。

此資訊安全更新可藉由修正 ASP.NET MVC 處理輸入編碼的方式,來解決此資訊安全風險。如需更多有關此資訊安全風險的資訊,請參閱本公告稍後特定資訊安全風險的<常見問題集 (FAQ)>小節。

建議。 Microsoft 建議客戶應該儘快安裝此資訊安全更新。在某些情況下,已啟用自動更新的客戶無需採取任何行動,因為資訊安全更新將自動下載和安裝。如果符合以下兩個條件的其中一項,將會提供更新給已啟用自動更新的系統:

  • 安裝了 MVC 2.0、MVC 3.0 或 MVC 4.0,或
  • 系統執行 Microsoft .NET Framework 4.5.1,且先前已載入含有受影響元件 (適用於 ASP.NET MVC 2.0、3.0、4.0、5.0 和 5.1 的 System.Web.Mvc.dll) 的應用程式

停用自動更新的客戶,如其系統符合其中一項條件,也可以使用 Microsoft Update 服務,透過檢查更新功能取得更新。本身系統不符合任何一項條件的客戶 (或不確定是否為這種情況的客戶),應透過 Microsoft 下載中心連結 (於本公告的<受影響軟體>表中提供) 手動下載並安裝更新。如需有關自動更新中特定設定選項的資訊,請參閱 Microsoft 知識庫文件編號 294871。對於沒有啟用自動更新的客戶,可採取開啟或關閉自動更新中的步驟來啟用自動更新。

執行 MVC 3.0、MVC 4.0、 MVC 5.0 或 MVC 5.1 的客戶,也可以選擇手動部署更新的 NuGet 套件,如本公告<資訊安全更新部署>一節中所詳述。請注意,沒有本身伺服器控制權但需要修補應用程式的客戶,需要在下載與安裝更新的 NuGet 套件後重新部署應用程式。如需關於 .NET NuGet 服務支援的詳細資訊,請參閱 .NET 4.5.1 支援 .NET NuGet 程式庫的 Microsoft 資訊安全更新

知識庫文件

  • 知識庫文件2990942
  • 檔案資訊: 是
  • SHA1/SHA2 雜湊: 是
  • 已知問題: 無

 

受影響的軟體

下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期,請參閱 ASP.NET 支援週期準則

受影響的軟體 

開發者工具 最大資訊安全影響 彙總嚴重性等級 已取代更新
ASP.NET MVC 2.0
(2993939)
資訊安全功能略過 重要
ASP.NET MVC 3.0
(2993937)
資訊安全功能略過 重要
ASP.NET MVC 4.0
(2993928)
資訊安全功能略過 重要
ASP.NET MVC 5.0
(2992080)
資訊安全功能略過 重要
ASP.NET MVC 5.1
(2994397)
資訊安全功能略過 重要
  更新常見問題集 -------------- **什麼是 ASP.NET MVC?** ASP.NET MVC (模型檢視控制站) 是以模式為出發點,用於建立動態網站的工具集,能完全分別不同類的考量層面,並能讓客戶全面控制標記,輕鬆靈活地進行開發。ASP.NET MVC 具有多種功能,可供進行快速的測試驅動式開發,建立運用最新網路標準的精密應用程式。如需更多資訊,請參閱[瞭解 ASP.NET MVC](https://www.asp.net/mvc)。 **此更新會透過自動更新功能提供給哪些對象?** 如果符合以下兩個條件的其中一項,將會提供更新給已啟用自動更新的系統: - 安裝了 MVC 2.0、MVC 3.0 或 MVC 4.0,或 - 系統執行 Microsoft .NET Framework 4.5.1,且先前已載入含有受影響元件 (適用於 ASP.NET MVC 2.0、3.0、4.0、5.0 和 5.1 的 System.Web.Mvc.dll) 的應用程式 停用自動更新的客戶,如其系統符合其中一項條件,也可以使用 [Microsoft Update](https://go.microsoft.com/fwlink/?linkid=40747) 服務,透過檢查更新功能取得更新。本身系統不符合任何一項條件的客戶 (或不確定是否為這種情況的客戶),應透過 Microsoft 下載中心連結 (於本公告的<受影響軟體>表中提供) 手動下載並安裝更新。如需有關自動更新中特定設定選項的資訊,請參閱 [Microsoft 知識庫文件編號 294871](https://support.microsoft.com/kb/294871)。對於沒有啟用自動更新的客戶,可採取[開啟或關閉自動更新](https://go.microsoft.com/fwlink/?linkid=398470)中的步驟來啟用自動更新。 執行 MVC 3.0、MVC 4.0、 MVC 5.0 或 MVC 5.1 的客戶,也可以選擇手動部署更新的 NuGet 套件,如本公告<資訊安全更新部署>一節中所詳述。請注意,沒有本身伺服器控制權但需要修補應用程式的客戶,需要在下載與安裝更新的 NuGet 套件後重新部署應用程式。如需關於 .NET NuGet 服務支援的詳細資訊,請參閱 [.NET 4.5.1 支援 .NET NuGet 程式庫的 Microsoft 資訊安全更新](https://blogs.msdn.com/b/dotnet/archive/2014/01/22/net-4-5-1-supports-microsoft-security-updates-for-net-nuget-libraries.aspx)。 **如何判斷系統上安裝的 ASP.NET MVC 版本?** 對於 MVC 4.0、MVC 5.0 或 MVC 5.1,您應已隨著應用程式部署受影響的二進位檔案 (System.Web.MVC.dll)。請檢查應用程式 Bin 資料夾,查看二進位檔案的版本。對於 MVC 2.0、MVC 3.0 或 MVC 4.0,請參閱 \[控制台\] 中的 \[新增或移除程式\] 項目,查看所安裝的 MVC 版本。

[新增/移除程式] 中的名稱
Microsoft ASP.NET MVC 2
Microsoft ASP.NET MVC 3
Microsoft ASP.NET MVC 4 Runtime
**我是否需要在我的電腦/伺服器上啟用 Microsoft Update 以取得此更新?** 否。如果您不希望在系統上啟用 Microsoft Update,可以直接從 Microsoft 下載中心下載更新 (請參閱知識庫文件: [2990942](https://technet.microsoft.com/zh-TW/library///support.microsoft.com/kb/2990942)(v=Security.10))),也可以將您的 NuGet 套件更新為安全的版本 (請參閱本公告的<資訊安全更新部署>一節),接著將您的應用程式重新部署到伺服器。 **更新的作用是什麼?我的 MVC 應用程式會受到什麼影響?** MSI 更新會於 GAC 中安裝已修復的組件 (System.Web.Mvc.dll)。如此一來,隨伺服器上執行的應用程式部署,受資訊安全風險影響的組件 (System.Web.Mvc.dll) 版本會由 GAC 中的版本覆寫,該版本為安全的版本。 對於 MVC 3.0 和 MVC 4.0,可以在受風險影響之 System.Web.Mvc.dll 版本安裝於 GAC 的伺服器上安裝完整產品。為說明此問題,組件版本已於修正後的版本中增加,且也會安裝伴隨的發行者原則組件,以重新導向隨應用程式部署的組件舊版本。  **我是否必須留意此更新對網站功能帶來的負面影響?** 否。此更新不會對網站功能產生負面影響。但是,在開發人員使用了受影響的功能且於手動為 HTML 輸出編碼的情況下,使用者可能會看見雙重編碼字元。例如,“<” 可能會顯示為“<”。此問題可由開發人員透過移除手動編碼步驟加以修正。此問題不會影響網站的功能;只會造成顯示上的影響。 **我的系統上安裝了 MVC 3.0 RTM,安裝更新後,我無法再於 Visual Studio 2010 中建立新的專案,我要如何修正這個問題?** 適用於 Visual Studio 2010 的 ASP.NET MVC 3.0 範本會依賴安裝於 Reference Assemblies 資料夾中的組件。由於 MVC 3.0 組件的更新版本是遞增的,因此範本將無法繼續正常運作。若要解決此問題,請安裝適用於 Visual Studio 2010 的 MVC 3.0.1 tooling refresh。 **我安裝了更新,且正在規劃連同應用程式部署較高版本的 ASP.NET MVC。此一行動計畫會不會有任何問題?** 沒問題。當您連同應用程式部署較 GAC 中更高版本的 System.Web.Mvc.dll 時,隨應用程式部署的組件版本將會優先。 **我所使用的是這個資訊安全公告中討論的舊版軟體。該怎麼辦?** 本公告所列出的受影響軟體版本已經過測試判斷哪些版本會受到影響。其他版本超出它們的支援週期。如需更多關於 ASP.NET 支援週期的相關資訊,請參閱 [ASP.NET 支援週期準則](https://www.asp.net/support)。 使用此軟體舊版的客戶應優先考慮移轉至支援的版本,以避免因潛在的資訊安全風險而遭受攻擊。若要瞭解您的軟體版本的支援週期,請參閱[選擇一個產品檢視其支援週期資訊](https://go.microsoft.com/fwlink/?linkid=169555)。如需更多關於上述軟體版本的 Service Pack 的資訊,請參閱 [Service Pack 週期支援政策](https://go.microsoft.com/fwlink/?linkid=89213)。 需要舊版軟體額外支援服務的客戶,請連絡 Microsoft 客戶小組人員、技術支援經理或適當的 Microsoft 協力廠商,以取得所需的額外支援。尚未簽訂聯盟、優先或授權合約的客戶,可以連絡當地的 Microsoft 銷售辦公室。如需連絡資訊,請參閱 [Microsoft 全球資訊](https://go.microsoft.com/fwlink/?linkid=33329)網站,然後選取所在國家/地區,即可查看電話號碼清單。連絡時,請指明要連絡當地優先支援服務行銷經理。如需更多資訊,請參閱 [Microsoft 技術支援週期準則常見問答集](https://go.microsoft.com/fwlink/?linkid=169557)。 嚴重性等級和資訊安全風險識別碼 ------------------------------ 下列嚴重性等級是假設資訊安全風險可能造成的最嚴重影響而評定。在本資訊安全公告發行的 30 天內,如需資訊安全風險之易遭利用性與嚴重性等級和資訊安全影響之間對應關係的資訊,請參閱 [10 月份公告摘要](https://technet.microsoft.com/library/security/ms14-oct)中的<資訊安全風險入侵指數>。如需更多資訊,請參閱 [Microsoft 資訊安全風險入侵指數](https://technet.microsoft.com/security/cc998259)。

**依受影響軟體列出的資訊安全風險嚴重性等級和最大資訊安全影響**
**受影響的軟體** **MVC XSS 資訊安全風險 - CVE-2014-4075** **彙總嚴重性等級**
**開發者工具**
ASP.NET MVC 2.0 (2993939) **重要**  資訊安全功能略過 **重要**
ASP.NET MVC 3.0 (2993937) **重要**  資訊安全功能略過 **重要**
ASP.NET MVC 4.0 (2993928) **重要**  資訊安全功能略過 **重要**
ASP.NET MVC 5.0 (2992080) **重要**  資訊安全功能略過 **重要**
ASP.NET MVC 5.1 (2994397) **重要**  資訊安全功能略過 **重要**
 

MVC XSS 資訊安全風險 - CVE-2014-4075

ASP.NET MVC 中存在跨網站指令碼 (XSS) 資訊安全風險,可能會允許攻擊者在使用者的網頁瀏覽器中注入用戶端指令碼。此指令碼可偽造內容、洩漏資訊,或在網站上以目標使用者的身分進行使用者可採取的任何行動。

若要在「一般性資訊安全風險」清單標準項目中檢視此資訊安全風險,請參閱 CVE-2014-4075

緩和因素

緩和因素是指存在於預設狀態中的設定、共用設定或一般最佳作法,可能會減少資訊安全風險影響的嚴重性。下列緩和因素可能對您的狀況有所助益:

  • 在網頁式攻擊案例中,攻擊者可能架設一個為了利用此資訊安全風險而蓄意製作的網站,然後引誘使用者檢視該網站。攻擊者也可能利用受侵害的網站,以及接受或裝載使用者提供內容或廣告的網站。這些網站可能含有經過蓄意製作並利用此資訊安全風險的內容。但是,攻擊者無法強迫使用者檢視受攻擊者控制的內容, 而是引誘使用者自行前往。一般的做法是設法讓使用者點選電子郵件訊息或 Instant Messenger 中通往攻擊者網站的連結,或設法讓他們開啟經由電子郵件傳送的附件。
  • 當使用者在網際網路區域中瀏覽網站時,Internet Explorer 8、Internet Explorer 9、Internet Explorer 10 和 Internet Explorer 11 中的 XSS 篩選器會為使用者防止此類攻擊。請注意,XSS 篩選器在 Internet Explorer 8、Internet Explorer 9、Internet Explorer 10 及 Internet Explorer 11 的網際網路區域中預設為啟用,但是在內部網路區域中預設為未啟用。

因應措施

因應措施指的是無法徹底修正資訊安全風險,但有助於在套用更新之前封鎖已知攻擊模式的設定變更。Microsoft 測試了下列因應措施和狀態,討論因應措施是否會降低功能:

  • 將 [網際網路] 及 [近端內部網路] 安全性區域設定為 [高],可封鎖這些區域中的 ActiveX 控制項及動態指令碼處理

    只要將網際網路安全性區域設定變更為封鎖 ActiveX 控制項及動態指令碼處理,即可防範此資訊安全風險遭到利用。做法是將瀏覽器的資訊安全設定為 [高]。

    若要在 Internet Explorer 中提高瀏覽器的安全層級,請執行下列步驟:

    1. 在 Internet Explorer 的 [工具] 功能表,按一下 [網際網路選項]
    2. [網際網路選項] 對話方塊中,按一下 [安全性] 索引標籤,再按 [網際網路]
    3. [此區域的安全性等級] 下方,將滑桿移至 [高]。如此即可將您所造訪的所有網站都設定為 [高] 安全層級。
    4. 按一下 [近端內部網路]。
    5. [此區域的安全性等級] 下方,將滑桿移至 [高]。如此即可將您所造訪的所有網站都設定為 [高] 安全層級。
    6. 按一下 [確定] 接受所有變更,回到 Internet Explorer。

    注意: 如果沒有顯示滑桿,按一下 [預設等級],再將滑桿移至 [高]。

    注意: 設定為 [高] 安全性層級可能會使部分網站無法正確運作。如果變更這項設定之後,您在使用網站時遇到問題,而又確定該網站安全無虞能放心使用,便可將該網站加入信任的網站清單中。如此一來,即使採用 [高] 設定,該網站仍可正確運作。

    因應措施的影響。 封鎖 ActiveX 控制項和動態指令碼處理會產生副作用。許多網際網路及內部網路的網站使用 ActiveX 或動態指令碼提供額外的功能。例如,線上電子商務網站或銀行網站會利用 ActiveX 控制項提供功能表、訂單、甚至是帳戶明細。封鎖 ActiveX 控制項或動態指令碼處理是一種通用設定,該設定會影響所有網際網路及內部網路網站。如果您不希望封鎖這些網站的 ActiveX 控制項或動態指令碼處理,請使用「將信任的網站加入 Internet Explorer [信任的網站] 區域」的步驟。

    將信任的網站加入 Internet Explorer [信任的網站] 區域

    當您完成設定,使 Internet Explorer 在網際網路區域及近端內部網路區域封鎖 ActiveX 控制項及動態指令碼處理之後,即可將信任的網站加入 Internet Explorer [信任的網站] 區域。之後您就可以依照平時習慣使用信任的網站,同時預防不信任網站的這類攻擊。我們建議您只將信任的網站加入 [信任的網站] 區域。

    若要如此做,請執行下列步驟:

    1. 在 Internet Explorer 中,依序按一下 [工具] 及 [網際網路選項],然後按一下 [安全性] 索引標籤。
    2. 在 [請選擇網頁內容區域來指定它的資訊安全設定] 方塊中,按一下 [信任的網站],然後按一下 [網站]。
    3. 如果您要加入的網站不需要加密通道,請按一下滑鼠清除 [此區域內的所有網站 需要伺服器驗證 (https:)] 核取方塊。
    4. 在 [將這個網站新增到區域] 方塊中,鍵入信任網站的 URL,然後按一下 [新增]。
    5. 為每一個要加入此區域的網站重複以上步驟。
    6. 按兩次 [確定] 接受所有變更,回到 Internet Explorer。

    注意: 您可以加入任何您相信不會對您的系統進行惡意動作的網站。建議您加入 *.windowsupdate.microsoft.com*.update.microsoft.com 這兩個網站。這些網站提供各項更新,並需要 ActiveX 控制項才能安裝更新。

常見問題集

這個資訊安全風險的範圍為何?
這是一個可能會導致權限提高的跨網站指令碼 (XSS) 資訊安全風險。

造成這項資訊安全風險的原因為何?
當 ASP.NET MVC 無法正確為輸入編碼時,就會導致此資訊安全風險。

什麼元件會受到此資訊安全風險的影響?
受此資訊安全風險影響的元件為 System.Web.Mvc.dll。

甚麼是跨網站指令碼 (XSS)?
跨網站指令碼 (XSS) 是一種資訊安全風險,可讓攻擊者將指令碼插入網頁要求的回應。然後,要求的應用程式 (多數時候是網頁瀏覽器) 就會執行指令碼。此指令碼可偽造內容、洩漏資訊,或在受影響的網站上以目標使用者的身分進行使用者可採取的任何行動。

攻擊者可能會利用此資訊安全風險採取什麼行動?
成功利用此資訊安全風險的攻擊者,可在使用者的 Internet Explorer 執行個體中注入用戶端指令碼。此指令碼可偽造內容、洩漏資訊,或在網站上以目標使用者的身分進行使用者可採取的任何行動。

攻擊者如何利用這項資訊安全風險?
在網頁式攻擊的案例中,攻擊者可引誘使用者造訪一個網頁,其中包含為了利用此資訊安全風險而蓄意製作的內容。

因為這個資訊安全風險而承受風險的主要系統有哪些?
執行受影響版本之 ASP.NET MVC 的伺服器最可能受這個資訊安全風險影響。

這項更新有何作用?
此更新可藉由修正 ASP.NET MVC 處理輸入編碼的方式,來解決此資訊安全風險。

本資訊安全公告發行時,這項資訊安全風險是否已公開揭露?
是。此資訊安全風險已經遭到公開揭發。這項資訊安全風險已被指派一般性資訊安全風險編號 CVE-2014-4075

當本資訊安全公告發行時,Microsoft 是否已接獲任何消息,指出此資訊安全風險已遭有心人士利用?
否。本資訊安全公告初次發行時,Microsoft 尚未接到任何有關本資訊安全風險已公開用來攻擊客戶的消息。

偵測與部署工具及指南

有幾項資源可協助系統管理員部署資訊安全更新。 

  • Microsoft Baseline Security Analyzer (MBSA) 能讓系統管理員掃描本機和遠端系統,查看是否遺漏資訊安全更新及一般資訊安全設定錯誤的狀況。 
  • Windows Server Update Services (WSUS)、Systems Management Server (SMS) 和 System Center Configuration Manager 可協助系統管理員散佈資訊安全更新。 
  • 應用程式相容性工具組隨附的 Update Compatibility Evaluator 元件可針對所安裝的應用程式簡化其測試和驗證 Windows 更新的過程。 

如需上述工具以及其他可使用工具的詳細資訊,請參閱 IT專業人員的資訊安全工具。 

資訊安全更新部署

ASP.NET MVC 2.0

參考表

下表包含此軟體的資訊安全更新資訊。

**概觀** ASP.NET MVC 2.0 的更新是透過自動更新提供,且也可透過 Microsoft 下載中心手動安裝。
**安裝資訊**
**DLC 套件檔名和下載連結** **AspNetMVC2.msi**
**NuGet 套件檔名** 不適用
**NuGet 更新程序** 不適用
**影響** 安裝此更新將導致 IIS 重新啟動。
**重新開機需求** 在某些情況下,此更新程式不需要重新開機。如果需要的檔案正在使用中,更新程式會要求重新開機。在此情況下,系統會出現訊息提示您重新開機。
**移除資訊** 若要移除此更新,您需要使用 \[控制台\] 中的 \[新增或移除程式\] 項目解除安裝整個 ASP.NET MVC 2 產品 (Microsoft ASP.NET MVC 2),然後再安裝舊版的產品。
**更新資訊** 請參閱 [Microsoft 知識庫文件編號 2993939](https://support.microsoft.com/kb/2993939)
**安裝驗證** 使用 \[控制台\] 中的 \[新增或移除程式\] 項目並尋找 **Microsoft ASP.NET MVC2**。所安裝的版本為 2.0.60926.0。
 

ASP.NET MVC 3.0

參考表

下表包含此軟體的資訊安全更新資訊。

**概觀** ASP.NET MVC 3.0 的更新是透過自動更新提供,且也可透過 Microsoft 下載中心或 NuGet 手動安裝。
**安裝資訊**
**DLC 套件檔名和下載連結** **AspNetMVC3.msi**
**NuGet 套件檔名** **Microsoft.AspNet.Mvc.3.0.50813.1.nupkg**
**NuGet 更新程序** **使用 NuGet 更新您的 Visual Studio 專案套件、重新編譯您的應用程式,並且進行部署** 1. 在 Visual Studio 中開啟您的解決方案。 2. 在 \[方案總管\] 中的 \[參考\] 節點上按一下滑鼠右鍵,然後按一下 \[管理 NuGet 套件\]。 3. 選取 \[更新\] 索引標籤。有更新之套件的清單隨即顯示在中央窗格內。 4. 選擇適用於您的 ASP.NET MVC 版本的更新套件,然後按一下 \[更新\]。 5. 編譯與部署您的 Web 應用程式。 如需使用 NuGet 對話方塊管理 NuGet 套件的詳細資訊,請參閱[使用對話方塊管理 NuGet 套件](https://docs.nuget.org/docs/start-here/managing-nuget-packages-using-the-dialog)(英文)。
**影響** 安裝此更新將導致 IIS 重新啟動。
**重新開機需求** 在某些情況下,此更新程式不需要重新開機。如果需要的檔案正在使用中,更新程式會要求重新開機。在此情況下,系統會出現訊息提示您重新開機。
**移除資訊** 若要移除此更新,您需要使用 \[控制台\] 中的 \[新增或移除程式\] 項目解除安裝整個 ASP.NET MVC 3 產品 (Microsoft ASP.NET MVC 3),然後再安裝舊版的產品。
**更新資訊** 請參閱 [Microsoft 知識庫文件編號 2993937](https://support.microsoft.com/kb/2993937)
**安裝驗證** 使用 \[控制台\] 中的 \[新增或移除程式\] 項目並尋找 **Microsoft ASP.NET MVC 3**。所安裝的版本為 3.0.50813.0。對於 NuGet 更新,部署的二進位檔案版本為 3.0.50813.0。
 

ASP.NET MVC 4.0

參考表

下表包含此軟體的資訊安全更新資訊。

**概觀** ASP.NET MVC 4.0 的更新是透過自動更新提供,且也可透過 Microsoft 下載中心或 NuGet 手動安裝。
**安裝資訊**
**DLC 套件檔名和下載連結** **AspNetMVC4.msi**
**NuGet 套件檔名** **Microsoft.AspNet.Mvc.4.0.40804.0.nupkg**
**NuGet 更新程序** **使用 NuGet 更新您的 Visual Studio 專案套件、重新編譯您的應用程式,並且進行部署** 1. 在 Visual Studio 中開啟您的解決方案。 2. 在 \[方案總管\] 中的 \[參考\] 節點上按一下滑鼠右鍵,然後按一下 \[管理 NuGet 套件\]。 3. 選取 \[更新\] 索引標籤。有更新之套件的清單隨即顯示在中央窗格內。 4. 選擇適用於您的 ASP.NET MVC 版本的更新套件,然後按一下 \[更新\]。 5. 編譯與部署您的 Web 應用程式。 如需使用 NuGet 對話方塊管理 NuGet 套件的詳細資訊,請參閱[使用對話方塊管理 NuGet 套件](https://docs.nuget.org/docs/start-here/managing-nuget-packages-using-the-dialog)(英文)。
**影響** 安裝此更新將導致 IIS 重新啟動。
**重新開機需求** 在某些情況下,此更新程式不需要重新開機。如果需要的檔案正在使用中,更新程式會要求重新開機。在此情況下,系統會出現訊息提示您重新開機。
**移除資訊** 若要移除此更新,您需要使用 \[控制台\] 中的 \[新增或移除程式\] 項目解除安裝整個 ASP.NET MVC 4 產品 (Microsoft ASP.NET MVC 4 Runtime),然後再安裝舊版的產品。
**更新資訊** 請參閱 [Microsoft 知識庫文件編號 2993928](https://support.microsoft.com/kb/2993928)
**安裝驗證** 使用 \[控制台\] 中的 \[新增或移除程式\] 項目並尋找 **Microsoft ASP.NET MVC 4** **Runtime**。安裝的版本是 4.0.40804.0。對於 NuGet 更新,部署的二進位檔案版本為 4.0.40804.0。
 

ASP.NET MVC 5.0

參考表

下表包含此軟體的資訊安全更新資訊。

**概觀** ASP.NET MVC 5.0 的更新可透過 Microsoft 下載中心或 NuGet 手動安裝。此更新是 ASP.NET MVC 5.0 產品的補充程式。
**安裝資訊**
**DLC 套件檔名和下載連結** **AspNetWebFxUpdate\_KB2992080.msi**
**NuGet 套件檔名** **Microsoft.AspNet.Mvc.5.0.2.nupkg**
**NuGet 更新程序** **使用 NuGet 更新您的 Visual Studio 專案套件、重新編譯您的應用程式,並且進行部署** 1. 在 Visual Studio 中開啟您的解決方案。 2. 在 \[方案總管\] 中的 \[參考\] 節點上按一下滑鼠右鍵,然後按一下 \[管理 NuGet 套件\]。 3. 選取 \[更新\] 索引標籤。有更新之套件的清單隨即顯示在中央窗格內。 4. 選擇適用於您的 ASP.NET MVC 版本的更新套件,然後按一下 \[更新\]。 5. 編譯與部署您的 Web 應用程式。 如需使用 NuGet 對話方塊管理 NuGet 套件的詳細資訊,請參閱[使用對話方塊管理 NuGet 套件](https://docs.nuget.org/docs/start-here/managing-nuget-packages-using-the-dialog)(英文)。
**影響** 安裝此更新將導致 IIS 重新啟動。
**重新開機需求** 在某些情況下,此更新程式不需要重新開機。如果需要的檔案正在使用中,更新程式會要求重新開機。在此情況下,系統會出現訊息提示您重新開機。
**移除資訊** 使用 \[控制台\] 中的 \[新增或移除程式\] 項目並按一下滑鼠右鍵以移除更新。顯示的更新名稱將會是 **Microsoft ASP.NET Web Frameworks 5.0 資訊安全更新 (KB2992080)**。
**更新資訊** 請參閱 [Microsoft 知識庫文件編號 2992080](https://support.microsoft.com/kb/2992080)
**安裝驗證** 使用 \[控制台\] 中的 \[新增或移除程式\] 項目並尋找 **Microsoft ASP.NET Web Frameworks 5.0 資訊安全更新 (KB2992080)**。對於 NuGet 更新,部署的二進位檔案版本是 5.0.20821.0。
 

ASP.NET MVC 5.1

參考表

下表包含此軟體的資訊安全更新資訊。

**概觀** ASP.NET MVC 5.1 的更新可透過 Microsoft 下載中心或 NuGet 手動安裝。此更新是 ASP.NET MVC 5.1 產品的補充程式。
**安裝資訊**
**DLC 套件檔名和下載連結** **AspNetWebFxUpdate\_KB2994397.msi**
**NuGet 套件檔名** **Microsoft.AspNet.Mvc.5.1.3.nupkg**
**NuGet 更新程序** **使用 NuGet 更新您的 Visual Studio 專案套件、重新編譯您的應用程式,並且進行部署** 1. 在 Visual Studio 中開啟您的解決方案。 2. 在 \[方案總管\] 中的 \[參考\] 節點上按一下滑鼠右鍵,然後按一下 \[管理 NuGet 套件\]。 3. 選取 \[更新\] 索引標籤。有更新之套件的清單隨即顯示在中央窗格內。 4. 選擇適用於您的 ASP.NET MVC 版本的更新套件,然後按一下 \[更新\]。 5. 編譯與部署您的 Web 應用程式。 如需使用 NuGet 對話方塊管理 NuGet 套件的詳細資訊,請參閱[使用對話方塊管理 NuGet 套件](https://docs.nuget.org/docs/start-here/managing-nuget-packages-using-the-dialog)(英文)。
**影響** 安裝此更新將導致 IIS 重新啟動。
**重新開機需求** 在某些情況下,此更新程式不需要重新開機。如果需要的檔案正在使用中,更新程式會要求重新開機。在此情況下,系統會出現訊息提示您重新開機。
**移除資訊** 使用 \[控制台\] 中的 \[新增或移除程式\] 項目並按一下滑鼠右鍵以移除更新。顯示的更新名稱將會是 **Microsoft ASP.NET Web Frameworks 5.1 資訊安全更新 (KB2994397)**。
**更新資訊** 請參閱 [Microsoft 知識庫文件編號 2994397](https://support.microsoft.com/kb/2994397)
**安裝驗證** 使用 \[控制台\] 中的 \[新增或移除程式\] 項目並尋找 **Microsoft ASP.NET Web Frameworks 5.1 資訊安全更新 (KB2994397)**。對於 NuGet 更新,部署的二進位檔案版本是 5.1.20821.0。
 

其他資訊

Microsoft 主動保護計畫 (MAPP)

為了增強客戶的資訊安全保護,Microsoft 將在每月發行資訊安全更新之前,提前向重要資訊安全軟體提供者提供資訊安全風險資訊。資訊安全軟體提供者可利用此資訊安全風險資訊,透過其資訊安全軟體或裝置 (如防毒軟體、網路入侵偵測系統、或主機入侵預防系統),為客戶提供更新的保護措施。如果要判斷是否有資訊安全軟體提供者的主動保護可用,請造訪由 Microsoft 主動保護計畫 (MAPP) 合作夥伴 (英文) 上列出的計畫合作夥伴所提供的主動保護計畫網站。

支援

如何取得此資訊安全更新的說明及支援

免責聲明

Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂

  • V1.0 (2014 年 10 月 14 日): 公告發行。

頁面產生時間:2014-10-15 12:02Z-07:00。