DFN-CERT

Advisory-Archiv

2022-0307: .NET Core: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2022-02-09 08:11)
Neues Advisory
Version 2 (2022-02-09 17:06)
Für Red Hat Enterprise Linux 8 (x86_64) und Red Hat CodeReady Linux Builder 8 (x86_64) stehen Sicherheitsupdates für '.NET 5.0' und für Red Hat Enterprise Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates für '.NET 6.0' zur Behebung der Schwachstelle bereit. Als Sicherheitsupdates stehen .NET Core SDK in den Versionen 6.0.102 und 5.0.211 sowie .NET Core Runtime in den Versionen 6.0.2 und 5.0.14 zur Verfügung.
Version 3 (2022-02-10 08:29)
Für Oracle Linux 8 (x86_64) steht ein Sicherheitsupdate für .NET 5.0 bereit, mit dem .NET SDK auf Version 5.0.211 und Runtime auf Version 5.0.14 aktualisiert werden. Für Red Hat Enterprise Linux 7 stehen Sicherheitsupdates für dotNET on RHEL (for RHEL Server, Workstation, Desktop) 1 (x86_64) bereit, womit .NET 5.0 auf .NET SDK 5.0.211 und .NET Runtime 5.0.14 und .NET 6.0 auf .NET SDK 6.0.102 und .NET Runtime 6.0.2 aktualisiert werden.
Version 4 (2022-02-17 10:06)
Für Fedora 34 steht ein Sicherheitsupdate in Form des Pakets 'dotnet6.0-6.0.102-1.fc34' im Status 'testing' bereit, um die Schwachstelle zu beheben. Für die Software .NET 6 wird damit das SDK auf Version 6.0.102 und Runtime auf Version 6.0.2 aktualisiert.
Version 5 (2022-02-18 08:41)
Für Fedora 35 steht ein Sicherheitsupdate in Form des Pakets 'dotnet6.0-6.0.102-1.fc35' im Status 'testing' bereit, um die Schwachstelle zu beheben.
Version 6 (2022-03-09 10:11)
Für Oracle Linux 8 (x86_64) steht ein Sicherheitsupdate für .NET 6.0 bereit, mit dem .NET SDK auf Version 6.0.102 und Runtime auf Version 6.0.2 aktualisiert werden.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann die Schwachstelle aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Zur Behebung der Schwachstelle in .NET 5.0 und 6.0 werden .NET Core 5.0.14 und 6.0.2 sowie das .NET Core SDK in den Versionen 5.0.405 und 6.0.102 bereitgestellt.

Im Rahmen des Microsoft Patchtags im Februar 2022 informiert Microsoft über die Schwachstelle und veröffentlicht ein Sicherheitsupdate. Das Update kann im Microsoft Security Update Guide über die Kategorie 'Developer Tools' und die Produkte '.NET Core 5.0' und '.NET 6.0' identifiziert werden.

Schwachstellen:

CVE-2022-21986

Schwachstelle in .NET Core ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.