2020-1008: Microsoft ASP.NET Core, .NET Core und .NET Framework, Powershell: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2020-05-13 14:55)

Neues Advisory

Version 2 (2020-05-18 10:58)

Microsoft hat seinen Sicherheitshinweis aktualisiert und PowerShell Core 6.2 und 7.0 in die Tabelle der von Schwachstelle CVE-2020-1108 betroffenen Produkte aufgenommen.

Version 3 (2020-06-10 12:17)

Microsoft hat seinen Sicherheitshinweis zur Schwachstelle CVE-2020-1108 aktualisiert und informiert über Sicherheitsupdates für .NET Core 2.1 und .NET Core 3.1, um diese umfassend zu beheben. Kunden, welche diese Versionen von .NET Core verwenden, sollten die aktuellsten Versionen installieren. Hierzu und betreffs Informationen zur Installation verweist Microsoft auf die Release Notes (https://github.com/dotnet/announcements/issues/156, siehe Referenz).

Version 4 (2020-06-12 12:59)

Microsoft informiert darüber, dass zur umfassenden Behebung der Schwachstelle CVE-2020-1108 Sicherheitsupdates für PowerShell Core 6.2 und PowerShell 7.0 zur Verfügung stehen.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Microsoft

Beschreibung:

Zwei Schwachstellen in Microsoft .NET Framework, .NET Core und ASP.NET Core ermöglichen einem entfernten Angreifer Denial-of-Service-Angriffe auf mit den betroffenen Produkten erstellte Webanwendungen. Erfolgreiche Angriffe erfordern hierbei eine Benutzerinteraktion. Eine weitere Schwachstelle in .NET Framework ermöglicht einem lokalen Angreifer mit üblichen Benutzerrechten die Eskalation von Privilegien.

Microsoft behebt die als schwerwiegend (important) eingestuften Schwachstellen und stellt Sicherheitsupdates zur Verfügung, die im Microsoft Security Update Guide über die Kategorie 'Development Tools' identifiziert werden können. Weitere dort aufgeführte Schwachstellen in anderen Produkten werden in eigenen Sicherheitshinweisen behandelt.

Schwachstellen:

CVE-2020-1066

Schwachstelle in .NET Framework ermöglicht Privilegieneskalation

CVE-2020-1108

Schwachstelle in .NET Core und .NET Framework ermöglicht Denial-of-Service-Angriff

CVE-2020-1161

Schwachstelle in ASP.NET Core ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.