3微软于10日发布安全公告,通知.NET架构组件System.Text.Encodings.Web远程执行漏洞。影响范围包括NET 5.0,.NET Core 3.1和.NET Core 2.1。
由于文本编码的执行,.NET 5和.NET Core远程执行代码存在漏洞。
缓解 ***
Microsoft这个漏洞还没有发现任何缓解因素。
影响范围
影响漏洞的程序包是System.Text.Encodings.Web。升级软件包并重新部署应用程序以解决问题。 目前相应的安全版本是4.5.1,4.7.7和5.0.1。
基于.NET 5,.NET Core或.NET Framework,使用System.Text.Encodings.Web任何应用程序由程序包发布。
注意,.NET Core 3.0已停止支持,所有应用程序应更新为3.1。
漏洞检测
漏洞可以根据当前版本进行检测,列出的版本可以运行或运行SDK,比较上面列出的受影响版本范围。cmd运行dotnet --info命令列出已安装的版本命令,命令输出类似于以下信息。
漏洞解决
要解决这个问题,需要安装.NET 5.0,.NET Core 3.1或.NET Core 2.1最新版本Visual Studio中安装了一个或多个.NET Core SDK,VS会提示更新Visual Studio,自动更新.NET Core SDK。
- 对于.NET 5.0,请下载并安装Runtime 5.0.4或SDK 5.0.104(适用于Visual Studio 2019 v16.8) 。
- 对.NET Core 3.1,应下载并安装Runtime 3.1.13或SDK 3.1.113(适用于Visual Studio 2019 v16.4)或3.1.406(适用于Visual Studio 2019 v16.5或更高版本)
- 对.NET Core 2.1,应下载并安装Runtime 2.1.26或SDK 2.1.522(适用于Visual Studio 2019 v15.9)或2.1.814。
Microsoft Update也提供.NET 5.0,.NET Core 3.1和.NET Core 2.1更新。请访问此文件Windows搜索中键入“检查更新”,或打开“设置”,选择“更新和安全”,然后单击“检查更新”。
或者SDK之后,请重新启动应用程序,使更新生效。
对于已部署的独立应用程序,这些应用程序也容易受到攻击,必须重新编译和部署。