2023-1831: .NET Core, .NET Framework, ASP.NET Core: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-08-09 16:44): Neues Advisory

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Benutzerrechte zu erlangen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer zwei weitere Schwachstellen lokal ausnutzen, um Informationen auszuspähen und beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Die Schwachstelle CVE-2023-38180 wird nach Information des Herstellers bereits aktiv ausgenutzt.

Zur Behebung der Schwachstellen in Microsoft .NET Core stehen die Releases .NET 6.0.21 und .NET 7.0.10 zur Verfügung.

Microsoft behebt die Schwachstellen im Rahmen des Microsoft Patchtags im August 2023. Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Development Tools' und die Produkte 'ASP.NET Core', '.NET 6.0' und '.NET 7.0' sowie 'Microsoft .NET Framework' identifiziert werden.

Schwachstellen:

CVE-2023-35390

Schwachstelle in .NET Core und Microsoft Visual Studio ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35391

Schwachstelle in .NET Core, ASP.NET Core und Microsoft Visual Studio ermöglicht Ausspähen von Informationen

CVE-2023-36873

Schwachstelle in Microsoft .NET Framework ermöglicht Darstellen falscher Informationen

CVE-2023-36899

Schwachstelle in ASP.NET ermöglicht Erlangen von Benutzerrechten

CVE-2023-38178

Schwachstelle in .NET Core und Microsoft Visual Studio ermöglicht Denial-of-Service-Angriff

CVE-2023-38180