DFN-CERT

Advisory-Archiv

2022-1329: .NET Core, NuGet: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2022-06-15 13:41)
Neues Advisory
Version 2 (2022-06-15 17:08)
Für Red Hat Enterprise Linux 7 und 8 stehen Sicherheitsupdates für .NET 6.0 bereit. Als aktualisierte Versionen werden .NET SDK 6.0.106 und .NET Runtime 6.0.6 zur Verfügung gestellt.
Version 3 (2022-06-16 11:17)
Für Red Hat Enterprise Linux 7 stehen .NET SDK 3.1.420 und .NET Runtime 3.1.26 als Sicherheitsupdates zur Verfügung.
Version 4 (2022-06-16 15:52)
Für Oracle Linux 8 (x86_64) steht als Sicherheitsupdate '.NET SDK 3.1.420' bereit, um die Schwachstelle zu beheben.
Version 5 (2022-06-16 18:46)
Für Red Hat Enterprise Linux 8 steht ein Sicherheitsupdate für '.NET Core 3.1' auf die Versionen '.NET SDK 3.1.420' und '.NET Runtime 3.1.26' und für Red Hat Enterprise Linux 9 steht ein Sicherheitsupdate für '.NET 6.0' auf die Versionen '.NET SDK 6.0.106' und '.NET Runtime 6.0.6' bereit.
Version 6 (2022-06-17 10:57)
Für Oracle Linux 8 steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in .NET 6.0 adressiert wird.
Version 7 (2022-06-20 08:52)
Für Fedora 35 und 36 stehen Sicherheitsupdates in Form der Pakete 'dotnet6.0-6.0.106-1.fc35' und 'dotnet6.0-6.0.106-1.fc36' im Status 'testing' bereit, womit .NET SDK auf Version 6.0.106 und .NET Runtime auf Version 6.0.6 aktualisiert werden.
Version 8 (2022-06-29 08:53)
Für Fedora 35 und 36 stehen Sicherheitsupdates in Form der Pakete 'dotnet3.1-3.1.420-1.fc35' und 'dotnet3.1-3.1.420-1.fc36' im Status 'testing' bereit, womit .NET Core SDK auf Version 3.1.420 und .NET Core Runtime auf Version 3.1.26 aktualisiert werden.
Version 9 (2022-07-04 11:22)
Für Oracle Linux 9 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates für '.NET 6.0' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann eine Schwachstelle lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die Schwachstelle erfordert die Interaktion eines Benutzers.

Die Schwachstelle wird mit NuGet 4.9.5, 5.7.2, 5.9.2, 5.11.2, 6.0.2 und 6.2.1 sowie .NET 6.0.6 und .NET Core 3.1.26 adressiert.

Schwachstellen:

CVE-2022-30184

Schwachstelle in .NET Core, NuGet und Microsoft Visual Studio ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.