È capitato, e quindi è un precedente a cui stare molto attenti. La patch si installa solo se trova asp.net installato... e fin qui sembra una cosa corretta.
Il problema è che asp.net può funzionare anche se apparentemente non è installato.... come? Asp.net è 'ufficialmente' installato quando è impostata la chiave di registry:
HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\v1.1.4322\Install = 1
Quindi accade che asp.net ci sia, funzioni, il comando “aspnet_regiis -lv” dice che tutto è ok, ma la chiave di registry dice che asp.net non c'è.
Quando capita questa strana cosa (a dire il vero è una cosa rara anche se non saprei dire quanto) il machine.config non viene patchato e quindi si resta vulnerabili.
Il rimedio è presto fatto: controllare che in tutti i machine.config delle versioni di framework installate sul pc, al tag <httpModules ... /> ci sia questa riga:
<add name="ValidatePathModule" type="Microsoft.Web.ValidatePathModule, Microsoft.Web.ValidatePathModule, Version=1.0.0.0, Culture=neutral, PublicKeyToken=eba19824f86fdadd"/>