.NET 8.0.1, .NET 7.0.15 und .NET 6.0.26 korrigieren Sicherheitslücken

Passend zum Januar Patchday hat Microsoft auch Sicherheitsupdates für die drei .NET-Versionen veröffentlicht. Hierbei handelt es sich um die CVE-2024-0056, CVE-2024-0057 sowie CVE-2024-21319. Die Updates werden mit den Windows-Updates heruntergeladen und installiert. Diese Sicherheitslücken werden auch genau beschrieben.

  • CVE-2024-0056 In den SQL-Datenanbietern Microsoft.Data.SqlClient und System.Data.SqlClient besteht eine Schwachstelle, über die ein Angreifer einen AiTM-Angriff (Adversary-in-the-Middle) zwischen dem SQL-Client und dem SQL-Server durchführen kann. Dies kann es dem Angreifer ermöglichen, die für den Datenbankserver bestimmten Authentifizierungsdaten zu entwenden, selbst wenn die Verbindung über einen verschlüsselten Kanal wie TLS hergestellt wird.
  • CVE-2024-0057 Eine Schwachstelle zur Umgehung von Sicherheitsfunktionen besteht, wenn Microsoft .NET Framework-basierte Anwendungen X. 509-APIs zur Erstellung von Ketten verwenden, aber das X. 509-Zertifikat aufgrund eines Logikfehlers nicht vollständig validieren. Ein Angreifer könnte ein beliebiges nicht vertrauenswürdiges Zertifikat mit fehlerhaften Signaturen verwenden und so einen Fehler im Framework auslösen. Das Framework meldet korrekt, dass der Aufbau der X.509-Kette fehlgeschlagen ist, gibt aber einen falschen Grundcode für den Fehler zurück. Anwendungen, die diesen Grundcode verwenden, um ihre eigenen Vertrauensentscheidungen für den Kettenaufbau zu treffen, können dieses Szenario versehentlich als erfolgreichen Kettenaufbau behandeln. Dies könnte es einem Angreifer ermöglichen, die typische Authentifizierungslogik der Anwendung zu unterlaufen.
  • CVE-2024-21319 Eine Denial-of-Service-Schwachstelle besteht in ASP.NET Core-Projektvorlagen, die JWT-basierte Authentifizierungstoken verwenden. Diese Sicherheitsanfälligkeit ermöglicht es einem nicht authentifizierten Client, beliebig große Mengen an Serverspeicher zu verbrauchen, wodurch auf dem Server möglicherweise ein Out-of-Memory-Zustand ausgelöst wird und der Server nicht mehr in der Lage ist, auf legitime Anfragen zu reagieren.

Info und Download:

.NET 8.0.1, .NET 7.0.15 und .NET 6.0.26 korrigieren Sicherheitslücken
zurück zur Startseite

Ein Kommentar zu “.NET 8.0.1, .NET 7.0.15 und .NET 6.0.26 korrigieren Sicherheitslücken

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.

Aktuelle News auf Deskmodder.de
alle News anzeigen
Deskmodder