DFN-CERT

Advisory-Archiv

2023-1360: .NET Core, Microsoft .NET Framework: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Historie:

Version 1 (2023-06-14 14:15)
Neues Advisory
Version 2 (2023-06-16 16:09)
Für Fedora 37 und 38 stehen Sicherheitsupdates in Form von 'dotnet6.0-6.0.118-1'- und 'dotnet7.0-7.0.107-1'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben. Als aktualisierte Versionen werden .NET SDK 6.0.118 und 7.0.107 sowie .NET Runtime 6.0.18 und 7.0.107 zur Verfügung gestellt.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, beliebigen Programmcode auszuführen und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Privilegien zu eskalieren und beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Zur Behebung der Schwachstellen stehen die Releases .NET 6.0.18 und .NET 7.0.7 zur Verfügung.

Microsoft behebt die Schwachstellen im Rahmen des Microsoft Patchtags im Juni 2023. Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Development Tools' und die Produkte '.NET 6.0', '.NET 7.0' und 'Microsoft .NET Framework' identifiziert werden.

Schwachstellen:

CVE-2023-24895

Schwachstelle in .NET Core, Microsoft .NET Framework, Microsoft Visual Studio und PowerShell ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-24897

Schwachstelle in .NET Core, Microsoft .NET Framework, Microsoft Visual Studio und PowerShell ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-24936

Schwachstelle in .NET Core, Microsoft .NET Framework, Microsoft Visual Studio und PowerShell ermöglicht Erlangen von Administratorrechten

CVE-2023-29326

Schwachstelle in Microsoft .NET Framework ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-29331

Schwachstelle in .NET Core, Microsoft .NET Framework, Microsoft Visual Studio und PowerShell ermöglicht Denial-of-Service-Angriff

CVE-2023-29337

Schwachstelle in NuGet ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-32030

Schwachstelle in Microsoft .NET Framework ermöglicht Denial-of-Service-Angriff

CVE-2023-32032

Schwachstelle in .NET Core, Microsoft Visual Studio und PowerShell ermöglicht Privilegieneskalation

CVE-2023-33126

Schwachstelle in .NET Core, Microsoft Visual Studio und PowerShell ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-33128

Schwachstelle in .NET Core, Microsoft Visual Studio und PowerShell ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-33135

Schwachstelle in .NET Core und Microsoft Visual Studio ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.