行業(yè)動態(tài)

微軟安全中心公告:dotnet爆高危遠(yuǎn)程執(zhí)行漏洞

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2021-03-11    瀏覽次數(shù):
 

信息來源:51CTO


3月10日微軟發(fā)布安全公告,通報了.NET架構(gòu)組件System.Text.Encodings.Web遠(yuǎn)程執(zhí)行漏洞。影響范圍包括NET 5.0,.NET Core 3.1和.NET Core 2.1。

由于執(zhí)行文本編碼的方式,.NET 5和.NET Core中存在一個遠(yuǎn)程執(zhí)行代碼漏洞。

緩解方法

Microsoft尚未發(fā)現(xiàn)此漏洞的任何緩解因素。

影響范圍

該漏洞影響的程序包是System.Text.Encodings.Web。升級軟件包并重新部署應(yīng)用程序,以解決問題。 目前對應(yīng)的安全版本為4.5.1,4.7.7和5.0.1。

基于.NET 5,.NET Core或.NET Framework,使用System.Text.Encodings.Web程序包發(fā)布的人任何的應(yīng)用程序。

注意,.NET Core 3.0已停止支持,所有應(yīng)用程序都應(yīng)更新為3.1。

漏洞檢測

漏洞可以根據(jù)當(dāng)前使用的版本來檢測,列出的版本的運(yùn)行時或SDK,對比上面列出的受影響的版本范圍。通過cmd運(yùn)行dotnet --info命令列出已安裝的版本命令,命令輸出類似以下信息。

  1. .NET SDK (反映任何 global.json): 
  2. Version: 5.0.201 
  3. Commit: a09bd5c86c 
  4. 運(yùn)行時環(huán)境: 
  5. OS Name: Windows 
  6. OS Version: 10.0.18362 
  7. OS Platform: Windows 
  8. RID: win10-x64 
  9. Base Path: C:\Program Files\dotnet\sdk\5.0.201\ 
  10. Host (useful for support): 
  11. Version: 5.0.4 
  12. Commit: f27d337295 
  13. .NET SDKs installed: 
  14. 5.0.201 [C:\Program Files\dotnet\sdk] 
  15. .NET runtimes installed: 
  16. Microsoft.AspNetCore.App 5.0.4 [C:\Program Files\dotnet\shared\Microsoft.AspNetCore.App] 
  17. Microsoft.NETCore.App 5.0.4 [C:\Program Files\dotnet\shared\Microsoft.NETCore.App] 
  18. Microsoft.WindowsDesktop.App 5.0.4 [C:\Program Files\dotnet\shared\Microsoft.WindowsDesktop.App] 

漏洞解決

要解決此問題,需要安裝的.NET 5.0,.NET Core 3.1或.NET Core 2.1的最新版本。如果Visual Studio中安裝了一個或多個.NET Core SDK,VS會提示更新Visual Studio,還會自動更新.NET Core SDK。

  • 對于.NET 5.0,請下載并安裝Runtime 5.0.4或SDK 5.0.104(適用于Visual Studio 2019 v16.8) 。
  • 對.NET Core 3.1,則應(yīng)下載并安裝Runtime 3.1.13或SDK 3.1.113(適用于Visual Studio 2019 v16.4)或3.1.406(適用于Visual Studio 2019 v16.5或更高版本)
  • 對.NET Core 2.1,則應(yīng)下載并安裝Runtime 2.1.26或SDK 2.1.522(適用于Visual Studio 2019 v15.9)或2.1.814。

Microsoft Update也提供.NET 5.0,.NET Core 3.1和.NET Core 2.1更新。要訪問此文件,請在Windows搜索中鍵入“檢查更新”,或打開“設(shè)置”,選擇“更新和安全性”,然后單擊“檢查更新”。

安裝更新的運(yùn)行時或SDK后,請重新啟動應(yīng)用程序以使更新生效。

對于已部署的獨(dú)立的應(yīng)用程序,針對任何受影響的版本 ,則這些應(yīng)用程序也容易受到攻擊,必須重新編譯和重新部署。


 
 

上一篇:2022聚銘校園招聘正式啟動!

下一篇:十五萬個攝像頭被黑客入侵,特斯拉工廠、醫(yī)院、警察局被一覽無遺