Keamanan
Kerentanan CVE-2020-1147: Kerentanan Eksekusi Kode Jarak Jauh Inti .NET
Microsoft merilis nasihat keamanan ini untuk memberikan informasi tentang kerentanan .NET Core. Panduan ini juga memberikan panduan tentang apa yang dapat dilakukan pengembang untuk memperbarui aplikasi mereka untuk mengatasi kerentanan ini.
Microsoft mengetahui kerentanan eksekusi kode jarak jauh di perangkat lunak .NET di mana perangkat lunak tidak dapat memvalidasi markup asli dari file XML. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode arbitrer dalam konteks pengguna saat ini.
Penyerang jarak jauh yang tidak diautentikasi dapat mengeksploitasi kerentanan ini dengan mengirim permintaan yang dibuat khusus ke aplikasi ASP.NET Core atau aplikasi lain yang mengurai jenis XML tertentu.
Pembaruan keamanan mengatasi kerentanan dengan membatasi tipe yang bisa ada dalam muatan XML.
Dapatkan pembaruan
- .NET Core 3.1.6 dan .NET Core SDK ( Unduh | Catatan Rilis )
- .NET Core 2.1.20 dan .NET Core SDK ( Unduh | Catatan Rilis )
Lihat catatan rilis .NET Core untuk detail rilis, termasuk perbaikan dan masalah yang diangkat.
Pembaruan .NET Core terbaru tersedia di halaman download .NET Core.
Gambar Docker
Image .NET Docker juga telah diperbarui. Repositori berikut telah diperbarui:
- dotnet / core / sdk : .NET Core SDK
- dotnet / core / aspnet : ASP.NET Core Runtime
- dotnet / core / runtime : .NET Core Runtime
- dotnet / core / runtime-deps : .NET Core Runtime Dependencies
- dotnet / core / samples : Sampel Inti .NET
Catatan: Untuk mendapatkan update ini, Anda harus mendapatkan image container .NET Core yang telah diupdate baik menggunakan docker pull atau docker build --pull.
Studio visual
Pembaruan ini akan disertakan di pembaruan mendatang untuk Visual Studio.
Setiap versi Visual Studio hanya didukung dengan versi .NET Core SDK. Informasi versi Visual Studio disertakan di halaman unduhan dan catatan rilis .NET Core SDK. Jika Anda tidak menggunakan Visual Studio, kami merekomendasikan menggunakan SDK terbaru.