На прошлой неделе вышло июльское обновление .NET Core. Оно содержит исправления безопасности и улучшения надежности. См. индвидуальные примечания к выпуску для получения подробной информации об обновленных пакетах. В этой статье расскажем об улучшениях безопасности в совокупности.
Уязвимость CVE-2020-1147: уязвимость .NET Core, делающая возможным удаленное выполнение кода
Microsoft выпускает эту рекомендацию по безопасности, чтобы предоставить информацию об уязвимости в .NET Core. Это руководство также содержит рекомендации о том, что разработчики могут сделать, чтобы обновить свои приложения для устранения этой уязвимости.
Microsoft знает об уязвимости удаленного выполнения кода в программном обеспечении .NET, когда программное обеспечение не может проверить исходную разметку файла XML. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код в контексте текущего пользователя.
Удаленный злоумышленник, не прошедший проверку подлинности, может использовать эту уязвимость, отправляя специально созданные запросы в приложение ASP.NET Core или другое приложение, которое анализирует определенные типы XML.
Это обновление для системы безопасности устраняет уязвимость, ограничивая типы, которые могут присутствовать в полезной нагрузке XML.
См. примечания к выпуску .NET Core для получения подробной информации о выпуске, включая исправленные и затронутые проблемы.
Последние обновления .NET Core доступны на странице загрузки .NET Core.
Образы .NET Docker также были обновлены. Следующие репозитории были обновлены:
Примечание: чтобы получить это обновление, вы должны получить обновленные образы контейнера .NET Core либо с помощью docker pull, либо с помощью docker build --pull.
Это обновление будет включено в будущее обновление Visual Studio.
Каждая версия Visual Studio поддерживается только с данной версией .NET Core SDK. Информация о версии Visual Studio включена в страницы загрузки .NET Core SDK и примечания к выпуску. Если вы не используете Visual Studio, мы рекомендуем использовать последнюю версию SDK.
Безопасность
Уязвимость CVE-2020-1147: уязвимость .NET Core, делающая возможным удаленное выполнение кода
Microsoft выпускает эту рекомендацию по безопасности, чтобы предоставить информацию об уязвимости в .NET Core. Это руководство также содержит рекомендации о том, что разработчики могут сделать, чтобы обновить свои приложения для устранения этой уязвимости.
Microsoft знает об уязвимости удаленного выполнения кода в программном обеспечении .NET, когда программное обеспечение не может проверить исходную разметку файла XML. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код в контексте текущего пользователя.
Удаленный злоумышленник, не прошедший проверку подлинности, может использовать эту уязвимость, отправляя специально созданные запросы в приложение ASP.NET Core или другое приложение, которое анализирует определенные типы XML.
Это обновление для системы безопасности устраняет уязвимость, ограничивая типы, которые могут присутствовать в полезной нагрузке XML.
Получить обновление
- .NET Core 3.1.6 и .NET Core SDK ( Скачать | Заметки о выпуске )
- .NET Core 2.1.20 и .NET Core SDK ( Скачать | Заметки о выпуске )
См. примечания к выпуску .NET Core для получения подробной информации о выпуске, включая исправленные и затронутые проблемы.
Последние обновления .NET Core доступны на странице загрузки .NET Core.
Образы Docker
Образы .NET Docker также были обновлены. Следующие репозитории были обновлены:
- dotnet/core/sdk: .NET Core SDK
- dotnet/core/aspnet: ASP.NET Core Runtime
- dotnet/core/runtime: .NET Core Runtime
- dotnet/core/runtime-deps: .NET Core Runtime Dependencies
- dotnet/core/samples: .NET Core Samples
Примечание: чтобы получить это обновление, вы должны получить обновленные образы контейнера .NET Core либо с помощью docker pull, либо с помощью docker build --pull.
Visual Studio
Это обновление будет включено в будущее обновление Visual Studio.
Каждая версия Visual Studio поддерживается только с данной версией .NET Core SDK. Информация о версии Visual Studio включена в страницы загрузки .NET Core SDK и примечания к выпуску. Если вы не используете Visual Studio, мы рекомендуем использовать последнюю версию SDK.