На прошлой неделе вышло июльское обновление .NET Core. Оно содержит исправления безопасности и улучшения надежности. См. индвидуальные примечания к выпуску для получения подробной информации об обновленных пакетах. В этой статье расскажем об улучшениях безопасности в совокупности.



Безопасность


Уязвимость CVE-2020-1147: уязвимость .NET Core, делающая возможным удаленное выполнение кода

Microsoft выпускает эту рекомендацию по безопасности, чтобы предоставить информацию об уязвимости в .NET Core. Это руководство также содержит рекомендации о том, что разработчики могут сделать, чтобы обновить свои приложения для устранения этой уязвимости.

Microsoft знает об уязвимости удаленного выполнения кода в программном обеспечении .NET, когда программное обеспечение не может проверить исходную разметку файла XML. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код в контексте текущего пользователя.

Удаленный злоумышленник, не прошедший проверку подлинности, может использовать эту уязвимость, отправляя специально созданные запросы в приложение ASP.NET Core или другое приложение, которое анализирует определенные типы XML.

Это обновление для системы безопасности устраняет уязвимость, ограничивая типы, которые могут присутствовать в полезной нагрузке XML.

Получить обновление



См. примечания к выпуску .NET Core для получения подробной информации о выпуске, включая исправленные и затронутые проблемы.

Последние обновления .NET Core доступны на странице загрузки .NET Core.

Образы Docker


Образы .NET Docker также были обновлены. Следующие репозитории были обновлены:


Примечание: чтобы получить это обновление, вы должны получить обновленные образы контейнера .NET Core либо с помощью docker pull, либо с помощью docker build --pull.

Visual Studio


Это обновление будет включено в будущее обновление Visual Studio.

Каждая версия Visual Studio поддерживается только с данной версией .NET Core SDK. Информация о версии Visual Studio включена в страницы загрузки .NET Core SDK и примечания к выпуску. Если вы не используете Visual Studio, мы рекомендуем использовать последнюю версию SDK.

Комментарии (0)