2021-1737: .NET Core: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff
Historie:
- Version 1 (2021-08-12 16:42)
- Neues Advisory
- Version 2 (2021-08-13 13:16)
- Für Oracle Linux 8 (x86_64) stehen Sicherheitsupdates für .NET Core 3.1 und .NET 5.0 zur Behebung der Schwachstellen zur Verfügung. Red Hat veröffentlicht für .NET 5.0 auf Red Hat Enterprise Linux Server, Workstation und HPC Node in Version 7, Red Hat Enterprise Linux for x86_64 8 und EUS 8.4 sowie Red Hat Enterprise Linux Server AUS und TUS 8.4 (x86_64) Sicherheitsupdates, um die Schwachstellen zu adressieren.
- Version 3 (2021-08-17 11:33)
- Für Fedora 33 und 34 stehen Sicherheitsupdates in Form von 'dotnet3.1-3.1.118'- und 'dotnet5.0-5.0.206-1'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben.
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
Linux
Oracle
Beschreibung:
Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mit niedrigen Privilegien zwei weitere Schwachstellen lokal ausnutzen, um Informationen auszuspähen. Eine Schwachstelle erfordert die Interaktion eines Benutzers.
.NET Core und .NET Core SDK im Versionszweig 2.1 sind nur von der Schwachstelle CVE-2021-34485 betroffen.
Für dotNET on RHEL (Server, Workstation, Compute Node) 7 (x86_64), Red Hat Enterprise Linux 8 und 8.4 EUS (x86_64) sowie Red Hat Enterprise Linux Server 8.4 AUS und TUS (x86_64) stehen Sicherheitsupdates zur Behebung der jeweils betreffenden Schwachstellen in .NET Core und .NET Core SDK bereit. Als Sicherheitsupdates stehen .NET Core SDK in den Versionen 2.1.525 und 3.1.118 sowie .NET Core Runtime in den Versionen 2.1.29 und 3.1.18 zur Verfügung.
Für Oracle Linux 8 werden Sicherheitsupdates für 'dotnet2.1' bereitgestellt. Als fehlerbereinigte Versionen stehen .NET SDK 2.1.525 sowie .NET Runtime 2.1.29 zur Verfügung, um die Schwachstelle CVE-2021-34485 zu schließen.
Schwachstellen:
CVE-2021-26423
Schwachstelle in .NET Core und Microsoft Visual Studio ermöglicht Denial-of-Service-AngriffCVE-2021-34485
Schwachstelle in .NET Core und Microsoft Visual Studio ermöglicht Ausspähen von InformationenCVE-2021-34532
Schwachstelle in ASP.NET Core und Microsoft Visual Studio ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.