2019-0049: Microsoft .NET Framework, ASP.NET: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen
Historie:
- Version 1 (2019-01-09 15:40)
- Neues Advisory
- Version 2 (2019-01-16 14:15)
- Microsoft informiert in einer Aktualisierung des Sicherheitshinweises zur Schwachstelle CVE-2019-0545 darüber, dass diese auch PowerShell Core 6.1 und 6.2 betrifft.
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
Microsoft
Beschreibung:
Eine Schwachstelle in Microsoft .NET Framework und .NET Core ermöglicht einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen durch Umgehen der Cross-origin Resource Sharing (CORS) Konfiguration. Zwei weitere Schwachstellen in ASP.NET Core ermöglichen dem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe.
Der Hersteller informiert darüber, dass die Schwachstellen weder öffentlich bekannt sind noch aktiv ausgenutzt werden. Die zukünftige Ausnutzung der Schwachstellen ist zudem weniger wahrscheinlich, trotzdem wird der Schweregrad der Schwachstellen als 'wichtig' eingestuft.
Im Rahmen des aktuellen Microsoft-Patchtages werden Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung gestellt. Die Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Development Tools' identifiziert werden. Weitere dort aufgeführte Schwachstellen in anderen Produkten (ChakraCore, Microsoft Visual Studio) werden in eigenen Sicherheitshinweisen behandelt.
Schwachstellen:
CVE-2019-0545
Schwachstelle in Microsoft .NET Framework / .NET Core ermöglicht Ausspähen von InformationenCVE-2019-0548
Schwachstelle in ASP.NET Core ermöglicht Denial-of-Service-AngriffCVE-2019-0564
Schwachstelle in ASP.NET Core ermöglicht ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.