È un rischio per la sicurezza mantenere un'applicazione sviluppata per una versione di .NET precedente alla 4.0?

Question

È un rischio per la sicurezza mantenere un'applicazione sviluppata per una versione di .NET precedente alla 4.0?

#1 da (10 voti)
#2 da (2 voti)

9

Ho chiesto di aggiornare tutte le nostre applicazioni sviluppate internamente a .NET v4.0.

Inutile dire che questa è una grossa fetta di lavoro. L'utilizzo di applicazioni basate su .NET Framework precedenti alla v4.0 è un vero problema di sicurezza?

.net

posta Gareth 11.06.2012 - 12:26

fonte

2 risposte

2

Needless to say, this is a massive chunk of work. Is using applications based on the .NET framework prior to v4.0 a genuine security issue?

Microsoft ha rilasciato patch di sicurezza per tutte le versioni di .NET Framework che sono state colpite da un bug di sicurezza. Credo che Microsoft non supporti .NET Framework 1.0 / 1.1 in questo momento.

Non dovresti modificare alcun codice ....

risposta data 11.06.2012 - 13:09

fonte

Leggi altre domande sui tag .net

Avrebbe senso usare Bcrypt e PBKDF2 insieme? Test di penetrazione Wifi: perché la de-autenticazione aireplay-ng non funziona?

score 10 · Accepted Answer

No, non è un rischio eseguire un framework precedente (eccetto per 1.x), ma assicurati che sia corretto come descritto di seguito.

Tutti i framework riceveranno aggiornamenti di sicurezza gratuiti come descritto nella fase di supporto Mainstream ed Extended . Ogni framework deve avere il proprio service pack . (scorri fino alla fine di quel link)

Per semplificare le cose, .NET 3.5 SP1 è considerato un componente principale del sistema operativo Windows. Si applica la guida di supporto standard di Windows. In particolare:

.NET 1.0 è un rischio per la sicurezza poiché nessun hotfix è stato prodotto dopo SP3 14 luglio 2009
.NET 1.1 dovrebbe essere a SP1, anche se il supporto dell'hotfix per la sicurezza termina ottobre 2013 a meno che non lo si esegua su Server 2003 ( il supporto dell'hotfix per la sicurezza per Server 2003 termina a luglio 2015 ).
.NET 2.0 deve trovarsi a SP2
.NET 3.0 deve trovarsi a SP2
.NET 3.5 dovrebbe essere a SP1
.NET 4.0 raggiungerà la fine del supporto su tutti i sistemi operativi il 12 gennaio 2016
.NET 4.5 dovrebbe essere a 4.5.2. La scadenza del supporto si basa sul sistema operativo e sul service pack più recente per quel sistema operativo. (ad esempio Windows 7 SP1)

What is the Security Update policy?

Security updates will be available through the end of the Extended Support phase (five years of Mainstream Support plus five years of the Extended Support) at no additional cost for most products. Security updates will be posted on the Microsoft Update Web site during both the Mainstream and the Extended Support phase.

Is the Extended Hotfix Support program required for customers to receive security updates?

No. Any customer can report a security issue to Microsoft. Microsoft will review the issue. If a security update is created, it will be made available to customers as described earlier in this document.