2025-0098: .NET Core, Microsoft .NET Framework: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2025-01-15 12:09)
- Neues Advisory
- Version 2 (2025-01-16 17:45)
- Canonical stellt für Ubuntu 24.10, Ubuntu 24.04 LTS und Ubuntu 22.04 LTS Sicherheitsupdates für 'dotnet8' und 'dotnet9' bereit, um die Schwachstellen zu beheben.
- Version 3 (2025-01-17 08:54)
- Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 (x86_64, aarch64) und Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 (x86_64, aarch64) stehen Sicherheitsupdates für '.NET 8.0' und '.NET 9.0' bereit, um die Schwachstellen zu beheben.
- Version 4 (2025-01-20 09:39)
- Für Oracle Linux 8 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für '.NET 8.0' und '.NET 9.0' bereit, um die Schwachstellen zu beheben.
- Version 5 (2025-01-21 09:17)
- Für Fedora 40 und 41 stehen Sicherheitsupdates in Form von 'dotnet8.0-8.0.112-1'- und 'dotnet9.0-9.0.102-1'-Paketen im Status 'testing' bereit, womit .NET 8.0 auf die SDK Version 8.0.112 und Runtime Version 8.0.12 und .NET 9.0 auf die SDK Version 9.0.102 und Runtime Version 9.0.1 aktualisiert und die Schwachstellen behoben werden.
- Version 6 (2025-01-22 08:06)
- Für Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 9.4 (x86_64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 9.4 (x86_64, aarch64) und Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.4 (aarch64) stehen Sicherheitsupdates für '.NET 8.0' bereit, womit .NET 8.0 auf die SDK Version 8.0.112 und Runtime Version 8.0.12 aktualisiert und die Schwachstellen behoben werden.
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Privilegien zu eskalieren.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.
Im Rahmen des Microsoft Patchtags im Januar 2025 informiert Microsoft über die Schwachstellen und veröffentlicht Sicherheitsupdates. Es stehen für .NET die Versionen 9.0.1 und 8.0.12 bereit, um die Schwachstellen zu schließen.
Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Development Tools' und die Produkte '.NET 8.0' und '.NET 9.0' sowie 'Microsoft .NET Framework' identifiziert werden.
Schwachstellen:
CVE-2025-21171
Schwachstelle in .NET Core ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-21172
Schwachstelle in .NET Core und Microsoft Visual Studio ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-21173
Schwachstelle in .NET Core ermöglicht PrivilegieneskalationCVE-2025-21176
Schwachstelle in .NET Core, .NET Framework und Microsoft Visual Studio ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.