2023-1374: .NET Core: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten
Historie:
- Version 1 (2023-06-14 13:57)
- Neues Advisory
- Version 2 (2023-06-14 20:11)
- Für Red Hat Enterprise Linux 7, d. h. dotNET on RHEL (for RHEL Server / Workstation / Compute Node) 1 (x86_64) stehen Sicherheitsupdates für .NET 6.0 bereit, um die betreffenden Schwachstellen zu beheben. Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.8 und 9.2 (x86_64, aarch64), Red Hat Enterprise Linux Server - TUS 8.8 (x86_64), Red Hat Enterprise Linux Server - AUS 9.2 (x86_64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 8.8 und 9.2 (x86_64, aarch64) sowie Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.2 (aarch64) stehen Sicherheitsupdates für '.NET 6.0' und '.NET 7.0' bereit, um die Schwachstellen zu beheben.
- Version 3 (2023-06-15 17:08)
- Für Oracle Linux 9 (aarch64, x86_64) stehen Sicherheitsupdates für .NET 6.0 bereit, um die Schwachstellen zu beheben, wobei CVE-2023-32032 nicht referenziert wird. Als aktualisierte Versionen werden .NET SDK 6.0.118 und .NET Runtime 6.0.18 zur Verfügung gestellt.
- Version 4 (2023-06-16 09:56)
- Korrespondierend zu ELSA-2023-3581 stehen .NET 6.0-Sicherheitsupdates für Oracle Linux 8 (aarch64, x86_64) zur Verfügung. Auch hier wird die Schwachstelle CVE-2023-32032 nicht referenziert und .NET SDK 6.0.118 und .NET Runtime 6.0.18 stehen als aktuelle Versionen bereit.
- Version 5 (2023-06-19 12:10)
- Für Oracle Linux 8 (aarch64, x86_64) und 9 (aarch64, x86_64) stehen Sicherheitsupdates für .NET 7.0 bereit, um die Schwachstellen zu beheben. Als aktualisierte Versionen werden .NET SDK 7.0.107 und .NET Runtime 7.0.7 zur Verfügung gestellt.
- Version 6 (2023-06-23 16:39)
- Das mit USN-6161-1 bereitgestellte Sicherheitsupdate zur Behebung der Schwachstellen in .NET hat eine Regression eingeführt bezüglich der Art und Weise wie die Runtime X.509-Zertifikate importiert. Canonical stellt für Ubuntu 23.04, Ubuntu 22.10 und Ubuntu 22.04 LTS neue Sicherheitsupdates für 'dotnet6' und 'dotnet7' bereit, um die Regression zu beheben.
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
Linux
Oracle
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer zwei weitere Schwachstellen lokal ausnutzen, um Privilegien zu eskalieren und beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.
Canonical stellt für Ubuntu 23.04, Ubuntu 22.10 und Ubuntu 22.04 LTS Sicherheitsupdates für 'dotnet6' und 'dotnet7' bereit, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2023-24936
Schwachstelle in .NET Core, Microsoft .NET Framework, Microsoft Visual Studio und PowerShell ermöglicht Erlangen von AdministratorrechtenCVE-2023-29331
Schwachstelle in .NET Core, Microsoft .NET Framework, Microsoft Visual Studio und PowerShell ermöglicht Denial-of-Service-AngriffCVE-2023-29337
Schwachstelle in NuGet ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-32032
Schwachstelle in .NET Core, Microsoft Visual Studio und PowerShell ermöglicht PrivilegieneskalationCVE-2023-33128
Schwachstelle in .NET Core, Microsoft Visual Studio und PowerShell ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.