行業(yè)動(dòng)態(tài)

微軟安全中心公告:dotnet爆高危遠(yuǎn)程執(zhí)行漏洞
來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-03-11    瀏覽次數(shù):
 

信息來源:51CTO


3月10日微軟發(fā)布安全公告,通報(bào)了.NET架構(gòu)組件System.Text.Encodings.Web遠(yuǎn)程執(zhí)行漏洞。影響范圍包括NET 5.0,.NET Core 3.1和.NET Core 2.1。

由于執(zhí)行文本編碼的方式,.NET 5和.NET Core中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。

緩解方法

Microsoft尚未發(fā)現(xiàn)此漏洞的任何緩解因素。

影響范圍

該漏洞影響的程序包是System.Text.Encodings.Web。升級(jí)軟件包并重新部署應(yīng)用程序,以解決問題。 目前對(duì)應(yīng)的安全版本為4.5.1,4.7.7和5.0.1。

基于.NET 5,.NET Core或.NET Framework,使用System.Text.Encodings.Web程序包發(fā)布的人任何的應(yīng)用程序。

注意,.NET Core 3.0已停止支持,所有應(yīng)用程序都應(yīng)更新為3.1。

漏洞檢測(cè)

漏洞可以根據(jù)當(dāng)前使用的版本來檢測(cè),列出的版本的運(yùn)行時(shí)或SDK,對(duì)比上面列出的受影響的版本范圍。通過cmd運(yùn)行dotnet --info命令列出已安裝的版本命令,命令輸出類似以下信息。

  1. .NET SDK (反映任何 global.json): 
  2. Version: 5.0.201 
  3. Commit: a09bd5c86c 
  4. 運(yùn)行時(shí)環(huán)境: 
  5. OS Name: Windows 
  6. OS Version: 10.0.18362 
  7. OS Platform: Windows 
  8. RID: win10-x64 
  9. Base Path: C:\Program Files\dotnet\sdk\5.0.201\ 
  10. Host (useful for support): 
  11. Version: 5.0.4 
  12. Commit: f27d337295 
  13. .NET SDKs installed: 
  14. 5.0.201 [C:\Program Files\dotnet\sdk] 
  15. .NET runtimes installed: 
  16. Microsoft.AspNetCore.App 5.0.4 [C:\Program Files\dotnet\shared\Microsoft.AspNetCore.App] 
  17. Microsoft.NETCore.App 5.0.4 [C:\Program Files\dotnet\shared\Microsoft.NETCore.App] 
  18. Microsoft.WindowsDesktop.App 5.0.4 [C:\Program Files\dotnet\shared\Microsoft.WindowsDesktop.App] 

漏洞解決

要解決此問題,需要安裝的.NET 5.0,.NET Core 3.1或.NET Core 2.1的最新版本。如果Visual Studio中安裝了一個(gè)或多個(gè).NET Core SDK,VS會(huì)提示更新Visual Studio,還會(huì)自動(dòng)更新.NET Core SDK。

  • 對(duì)于.NET 5.0,請(qǐng)下載并安裝Runtime 5.0.4或SDK 5.0.104(適用于Visual Studio 2019 v16.8) 。
  • 對(duì).NET Core 3.1,則應(yīng)下載并安裝Runtime 3.1.13或SDK 3.1.113(適用于Visual Studio 2019 v16.4)或3.1.406(適用于Visual Studio 2019 v16.5或更高版本)
  • 對(duì).NET Core 2.1,則應(yīng)下載并安裝Runtime 2.1.26或SDK 2.1.522(適用于Visual Studio 2019 v15.9)或2.1.814。

Microsoft Update也提供.NET 5.0,.NET Core 3.1和.NET Core 2.1更新。要訪問此文件,請(qǐng)?jiān)赪indows搜索中鍵入“檢查更新”,或打開“設(shè)置”,選擇“更新和安全性”,然后單擊“檢查更新”。

安裝更新的運(yùn)行時(shí)或SDK后,請(qǐng)重新啟動(dòng)應(yīng)用程序以使更新生效。

對(duì)于已部署的獨(dú)立的應(yīng)用程序,針對(duì)任何受影響的版本 ,則這些應(yīng)用程序也容易受到攻擊,必須重新編譯和重新部署。


 
 

上一篇:2022聚銘校園招聘正式啟動(dòng)!

下一篇:十五萬個(gè)攝像頭被黑客入侵,特斯拉工廠、醫(yī)院、警察局被一覽無遺