2023-2859: .NET Core: Zwei Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2023-11-16 09:09)

Neues Advisory

Version 2 (2023-11-17 08:52)

Für Red Hat Enterprise Linux 7, d. h. dotNET on RHEL (for RHEL Server / Workstation / Compute Node) 1 (x86_64) stehen Sicherheitsupdates für '.NET 6.0' und für Red Hat Enterprise Linux 8 und 9 (x86_64, aarch64) sowie Red Hat CodeReady Linux Builder 8 und 9 (x86_64, aarch64) stehen Sicherheitsupdates für '.NET 6.0', '.NET 7.0' und '.NET 8.0' zur Verfügung.

Version 3 (2023-11-23 09:42)

Für Oracle Linux 8 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'dotnet7.0' bereit, um die Schwachstellen zu beheben. Hiermit erfolgt ein Update auf das .NET SDK 7.0.114 und Runtime 7.0.14 Release.

Version 4 (2023-11-24 15:03)

Für Oracle Linux 8 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'dotnet6.0' bereit, um die Schwachstellen zu beheben. Hiermit erfolgt ein Update auf das .NET SDK 6.0.125 und Runtime 6.0.25 Release.

Version 5 (2023-11-28 16:13)

Für Oracle Linux 9 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'dotnet7.0' bereit, um die Schwachstellen zu beheben. Hiermit erfolgt ein Update auf das .NET SDK 7.0.114 und Runtime 7.0.14 Release.

Version 6 (2023-11-28 17:45)

Für Oracle Linux 9 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'dotnet6.0' bereit, um die Schwachstellen zu beheben. Hiermit erfolgt ein Update auf das .NET SDK 6.0.125 und Runtime 6.0.25 Release.

Version 7 (2023-11-29 11:26)

Für Oracle Linux 9 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'dotnet8.0' zur Behebung der Schwachstellen zur Verfügung.

Version 8 (2023-12-07 11:38)

Für Fedora 38 und 39 stehen Sicherheitsupdates in Form der Pakete 'dotnet6.0-6.0.125-1.fc38' und 'dotnet7.0-7.0.114-1.fc38' bzw. 'dotnet6.0-6.0.125-1.fc39' und 'dotnet7.0-7.0.114-1.fc39' im Status 'testing' bereit. Hiermit erfolgt ein Update auf das .NET SDK 6.0.125 und Runtime 6.0.25 Release bzw. .NET SDK 7.0.114 und Runtime 7.0.14 Release.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um Privilegien zu eskalieren. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Canonical stellt für Ubuntu 23.10, Ubuntu 23.04 und Ubuntu 22.04 LTS Sicherheitsupdates für 'dotnet6', 'dotnet7' und 'dotnet8' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2023-36049

Schwachstelle in .NET Core, Microsoft .NET Framework und Microsoft Visual Studio ermöglicht Privilegieneskalation

CVE-2023-36558

Schwachstelle in .NET Core, ASP.NET Core und Microsoft Visual Studio ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.