DFN-CERT

Advisory-Archiv

2022-2023: .NET Core: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2022-09-14 08:44)
Neues Advisory
Version 2 (2022-09-15 11:17)
Für Red Hat Enterprise Linux Server / Workstation / Compute Node 7 stehen Sicherheitsupdates für .NET 3.1 und .NET 6.0 bereit. Als aktualisierte Versionen werden .NET SDK 3.1.423 und .NET Runtime 3.1.29 bzw. .NET SDK 6.0.109 und .NET Runtime 6.0.9 zur Verfügung gestellt. Für Red Hat CodeReady Linux Builder for x86_64 8 und Extended Update Support 8.6, Red Hat Enterprise Linux for x86_64 8 und Extended Update Support 8.6 sowie für Red Hat Enterprise Linux Server - AUS / TUS 8.6 (x86_64) stehen Sicherheitsupdates für .NET 3.1 und für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 9 (x86_64, aarch64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 9.0 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.0 (x86_64, aarch64) und Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.0 (aarch64) stehen Sicherheitsupdates für .NET 6.0 bereit. Als aktualisierte Versionen werden .NET SDK 3.1.423 und .NET Runtime 3.1.29 bzw. .NET SDK 6.0.109 und .NET Runtime 6.0.9 zur Verfügung gestellt. Für Oracle Linux 8 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates für .NET 3.1 und für Oracle Linux 9 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates für .NET 6.0 bereit. Als aktualisierte Versionen werden ebenfalls .NET SDK 3.1.423 und .NET Runtime 3.1.29 bzw. .NET SDK 6.0.109 und .NET Runtime 6.0.9 zur Verfügung gestellt.
Version 3 (2022-09-15 17:42)
Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 und Extended Update Support 8.6, Red Hat Enterprise Linux for x86_64 / ARM 64 8 und Extended Update Support 8.6 sowie für Red Hat Enterprise Linux Server - AUS / TUS 8.6 (x86_64) stehen Sicherheitsupdates für .NET 6.0 bereit. Als aktualisierte Versionen werden .NET SDK 6.0.109 und .NET Runtime 6.0.9 zur Verfügung gestellt.
Version 4 (2022-09-16 09:13)
Für Oracle Linux 8 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates für .NET 6.0 bereit. Als aktualisierte Versionen werden .NET SDK 6.0.109 und .NET Runtime 6.0.9 zur Verfügung gestellt.
Version 5 (2022-10-04 11:41)
Für Fedora 35 und 36 stehen Sicherheitsupdates in Form der Pakete 'dotnet3.1-3.1.423-1.fc35' und 'dotnet3.1-3.1.423-1.fc36' im Status 'testing' bereit. Als aktualisierte Versionen werden damit .NET SDK 3.1.423 und .NET Runtime 3.1.29 zur Verfügung gestellt.
Version 6 (2022-10-21 09:23)
Für Fedora 35 und 36 stehen Sicherheitsupdates in Form der Pakete 'dotnet6.0-6.0.109-1.fc35' und 'dotnet6.0-6.0.109-1.fc36' im Status 'testing' bereit. Als aktualisierte Versionen werden damit .NET SDK 6.0.109 und .NET Runtime 6.0.9 zur Verfügung gestellt.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Zur Behebung der Schwachstelle stehen die Releases .NET Core 3.1.29 und .NET 6.0.9 zur Verfügung.

Die im Rahmen des Microsoft Patchtags im September 2022 veröffentlichten Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Developer Tools' und die Produkte '.NET Core 3.1' und '.NET 6.0' identifiziert werden.

Canonical stellt für Ubuntu 22.04 LTS ein Sicherheitsupdate für 'dotnet6' bereit, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2022-38013

Schwachstelle in .NET Core ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.