DFN-CERT

Advisory-Archiv

2022-1779: .NET Core, PowerShell, Visual Studio: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2022-08-10 12:04)
Neues Advisory
Version 2 (2022-08-10 17:37)
Für Red Hat Enterprise Linux 7 stehen Sicherheitsupdates für .NET 3.1 und .NET 6.0 bereit. Als aktualisierte Versionen werden .NET SDK 3.1.422 und .NET Runtime 3.1.28 bzw. .NET SDK 6.0.108 und .NET Runtime 6.0.8 zur Verfügung gestellt.
Version 3 (2022-08-11 09:34)
Für Red Hat Enterprise Linux for x86_64 9 und Extended Update Support 9.0 stehen Sicherheitsupdates für '.NET 6.0' bereit, um die Schwachstelle zu adressieren.
Version 4 (2022-08-12 11:48)
Oracle veröffentlicht für Oracle Linux 9 (aarch64, x86_64) Sicherheitsupdates für '.NET 6.0' und behebt damit die aufgeführte Schwachstelle. Microsoft aktualisiert die referenzierte Schwachstellenmeldung und gibt an, dass auch die PowerShell Versionen 7.2 und 7.0 verwundbar und Sicherheitsupdates verfügbar sind. Der Hersteller veröffentlicht die PowerShell Releases 7.2.6 und 7.0.12 zur Behebung der Schwachstelle.
Version 5 (2022-08-15 17:26)
Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 und 8.6, Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 8.6 sowie für Red Hat Enterprise Linux Server - AUS / TUS 8.6 (x86_64) stehen Sicherheitsupdates für .NET 3.1 und .NET 6.0 bereit. Als aktualisierte Versionen werden .NET SDK 3.1.422 und .NET Runtime 3.1.28 bzw. .NET SDK 6.0.108 und .NET Runtime 6.0.8 zur Verfügung gestellt.
Version 6 (2022-08-16 08:34)
Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für .NET 3.1 und .NET 6.0 bereit. Als aktualisierte Versionen werden .NET SDK 3.1.422 und .NET Runtime 3.1.28 bzw. .NET SDK 6.0.108 und .NET Runtime 6.0.8 zur Verfügung gestellt. Für Fedora 35 und 36 stehen Sicherheitsupdates in Form von 'dotnet6.0-6.0.108-1'-Paketen im Status 'testing' bereit um die Schwachstelle zu beheben, womit mit .NET SDK auf Version 6.0.108 und .NET Runtime auf Version 6.0.8 aktualisiert werden.
Version 7 (2022-08-19 09:25)
Für Fedora 35 und 36 stehen Sicherheitsupdates in Form von 'dotnet3.1-3.1.422-1'-Paketen im Status 'testing' bereit, um die Schwachstelle zu beheben, womit mit .NET SDK auf Version 3.1.422 und .NET Runtime auf Version 3.1.28 aktualisiert werden.
Version 8 (2023-04-12 10:37)
Microsoft aktualisiert die referenzierte Schwachstellenmeldung und gibt an, dass auch Visual Studio 2017 Version 15.9, Visual Studio 2019 Versionen 16.9 und 16.11 sowie Visual Studio 2022 Versionen 17.0 und 17.2 verwundbar sind und die Sicherheitsupdates vom August 2022 die Schwachstelle behoben haben.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Zur Behebung der Schwachstelle stehen die .NET Core 3.1.28 und .NET 6.0.8 Releases sowie das .NET Core SDK in den Versionen 3.1.422, 6.0.303, 6.0.108 und 6.0.400 zur Verfügung.

Die im Rahmen des Microsoft Patchtags im August 2022 veröffentlichten Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Developer Tools' und die Produkte '.NET Core 3.1' und '.NET 6.0' identifiziert werden.

Schwachstellen:

CVE-2022-34716

Schwachstelle in .NET Core ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.