安全
漏洞CVE-2020-1147:.NET Core远程执行代码漏洞
Microsoft正在发布此安全公告,以提供有关.NET Core漏洞的信息。本指南还提供有关开发人员可以如何更新其应用程序以解决此漏洞的指南。
Microsoft已经意识到.NET软件中的一个远程执行代码漏洞,该软件无法验证XML文件的原始标记。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。
未经身份验证的远程攻击者可以通过将特制请求发送到ASP.NET Core应用程序或解析某些类型的XML的另一个应用程序来利用此漏洞。
该安全更新通过限制XML有效负载中可能存在的类型来解决漏洞。
获取更新
请参阅.NET Core发行说明以获取发行详细信息,包括修复程序和提出的问题。.NET Core下载页面
上提供了最新的.NET Core更新。
Docker映像
.NET Docker映像也已更新。以下存储库已更新:
- dotnet / core / sdk:.NET Core SDK
- dotnet / core / aspnet:ASP.NET Core运行时
- dotnet / core / runtime:.NET Core Runtime
- dotnet / core / runtime-deps:.NET Core运行时依赖项
- dotnet / core / samples:.NET Core示例
注意:要获取此更新,您必须使用docker pull或docker build --pull获取更新的.NET Core容器映像。
视觉工作室
此更新将包含在Visual Studio的将来更新中。
此版本的.NET Core SDK仅支持每个版本的Visual Studio。.NET Core SDK下载页面和发行说明中包含Visual Studio版本信息。如果您不使用Visual Studio,建议您使用最新的SDK。