2022-0520: .NET Core: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2022-03-09 11:59)

Neues Advisory

Version 2 (2022-03-11 10:01)

Red Hat stellt für .NET Core 3.1 sowie für .NET 5.0 und 6.0 Sicherheitsupdates für Red Hat Enterprise Linux 7 und 8 zur Verfügung. Die aktualisierten Versionen sind .NET SDK 6.0.103 und .NET Runtime 6.0.3., .NET SDK 5.0.212 und .NET Runtime 5.0.15. sowie .NET SDK 3.1.417 und .NET Runtime 3.1.23. .NET 6.0 ist von CVE-2020-8927 nicht betroffen.

Version 3 (2022-03-11 18:33)

Für Oracle Linux 8 (aarch64, x86_64) stehen ebenfalls Sicherheitsupdates für .NET Core 3.1 sowie .NET 5.0 und 6.0 zur Verfügung. Die aktualisierten Versionen sind .NET SDK 6.0.103 und .NET Runtime 6.0.3, .NET SDK 5.0.212 und .NET Runtime 5.0.15 sowie .NET SDK 3.1.417 und .NET Runtime 3.1.23. .NET 6.0 ist von CVE-2020-8927 nicht betroffen.

Version 4 (2022-03-15 09:53)

Für Fedora 34 und 35 stehen mit den Paketen 'dotnet6.0-6.0.103-1.fc34' und 'dotnet6.0-6.0.103-1.fc35' Sicherheitsupdates zur Behebung der beiden für den Versionszweig relevanten Schwachstellen im Status 'testing' zur Verfügung.

Version 5 (2022-03-21 09:43)

Für Fedora 34 und 35 stehen Sicherheitsupdates in Form der Pakete 'dotnet3.1-3.1.417-1.fc34' und 'dotnet3.1-3.1.417-1.fc35' im Status 'testing' zur Behebung der Schwachstellen zur Verfügung.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen und beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Zur Behebung der Schwachstelle werden .NET Core 3.1.23, .NET 5.0.15 und .NET 6.0.3 sowie das .NET Core SDK in den Versionen 3.1.417, 5.0.212, 5.0.406, 6.0.103 und 6.0.201 bereitgestellt.

Im Rahmen des Microsoft Patchtags im März 2022 informiert Microsoft über die Schwachstellen und veröffentlicht Sicherheitsupdates. Die Updates können im Microsoft Security Update Guide über die Kategorie 'Developer Tools' und die Produkte '.NET Core 3.1', '.NET 5.0' und '.NET 6.0' identifiziert werden.

Schwachstellen:

CVE-2020-8927

Schwachstelle in Brotli ermöglicht Denial-of-Service-Angriff

CVE-2022-24464

Schwachstelle in .NET Core und Microsoft Visual Studio ermöglicht Denial-of-Service-Angriff

CVE-2022-24512

Schwachstelle in .NET Core und Microsoft Visual Studio ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.