信息來源:51CTO
3月10日微軟發(fā)布安全公告,通報(bào)了.NET架構(gòu)組件System.Text.Encodings.Web遠(yuǎn)程執(zhí)行漏洞。影響范圍包括NET 5.0,.NET Core 3.1和.NET Core 2.1。
由于執(zhí)行文本編碼的方式,.NET 5和.NET Core中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。
緩解方法
Microsoft尚未發(fā)現(xiàn)此漏洞的任何緩解因素。
影響范圍
該漏洞影響的程序包是System.Text.Encodings.Web。升級軟件包并重新部署應(yīng)用程序,以解決問題。 目前對應(yīng)的安全版本為4.5.1,4.7.7和5.0.1。
基于.NET 5,.NET Core或.NET Framework,使用System.Text.Encodings.Web程序包發(fā)布的人任何的應(yīng)用程序。
注意,.NET Core 3.0已停止支持,所有應(yīng)用程序都應(yīng)更新為3.1。
漏洞檢測
漏洞可以根據(jù)當(dāng)前使用的版本來檢測,列出的版本的運(yùn)行時(shí)或SDK,對比上面列出的受影響的版本范圍。通過cmd運(yùn)行dotnet --info命令列出已安裝的版本命令,命令輸出類似以下信息。
-
.NET SDK (反映任何 global.json):
-
Version: 5.0.201
-
Commit: a09bd5c86c
-
運(yùn)行時(shí)環(huán)境:
-
OS Name: Windows
-
OS Version: 10.0.18362
-
OS Platform: Windows
-
RID: win10-x64
-
Base Path: C:\Program Files\dotnet\sdk\5.0.201\
-
Host (useful for support):
-
Version: 5.0.4
-
Commit: f27d337295
-
.NET SDKs installed:
-
5.0.201 [C:\Program Files\dotnet\sdk]
-
.NET runtimes installed:
-
Microsoft.AspNetCore.App 5.0.4 [C:\Program Files\dotnet\shared\Microsoft.AspNetCore.App]
-
Microsoft.NETCore.App 5.0.4 [C:\Program Files\dotnet\shared\Microsoft.NETCore.App]
-
Microsoft.WindowsDesktop.App 5.0.4 [C:\Program Files\dotnet\shared\Microsoft.WindowsDesktop.App]
漏洞解決
要解決此問題,需要安裝的.NET 5.0,.NET Core 3.1或.NET Core 2.1的最新版本。如果Visual Studio中安裝了一個(gè)或多個(gè).NET Core SDK,VS會(huì)提示更新Visual Studio,還會(huì)自動(dòng)更新.NET Core SDK。
-
對于.NET 5.0,請下載并安裝Runtime 5.0.4或SDK 5.0.104(適用于Visual Studio 2019 v16.8) 。
-
對.NET Core 3.1,則應(yīng)下載并安裝Runtime 3.1.13或SDK 3.1.113(適用于Visual Studio 2019 v16.4)或3.1.406(適用于Visual Studio 2019 v16.5或更高版本)
-
對.NET Core 2.1,則應(yīng)下載并安裝Runtime 2.1.26或SDK 2.1.522(適用于Visual Studio 2019 v15.9)或2.1.814。
Microsoft Update也提供.NET 5.0,.NET Core 3.1和.NET Core 2.1更新。要訪問此文件,請?jiān)赪indows搜索中鍵入“檢查更新”,或打開“設(shè)置”,選擇“更新和安全性”,然后單擊“檢查更新”。
安裝更新的運(yùn)行時(shí)或SDK后,請重新啟動(dòng)應(yīng)用程序以使更新生效。
對于已部署的獨(dú)立的應(yīng)用程序,針對任何受影響的版本 ,則這些應(yīng)用程序也容易受到攻擊,必須重新編譯和重新部署。