安全性
脆弱性CVE-2020-1147:.NET Coreリモートコード実行の脆弱性
Microsoftは、.NET Coreの脆弱性に関する情報を提供するために、このセキュリティアドバイザリをリリースしています。このガイドでは、この脆弱性に対処するためにアプリケーションを更新するために開発者ができることについてのガイダンスも提供します。
Microsoftは、.NETソフトウェアのリモートコード実行の脆弱性を認識しており、ソフトウェアはXMLファイルの元のマークアップを検証できません。この脆弱性の悪用に成功した攻撃者は、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。
認証されていないリモート攻撃者は、ASP.NET Coreアプリケーションまたは特定のタイプのXMLを解析する別のアプリケーションに特別に細工された要求を送信することにより、この脆弱性を悪用する可能性があります。
セキュリティアップデートは、XMLペイロードに存在する可能性のあるタイプを制限することにより、この脆弱性に対処します。
アップデートを入手
- .NET Core3.1.6および.NETCore SDK( ダウンロード | リリースノート )
- .NET Core2.1.20および.NETCore SDK( ダウンロード | リリースノート )
発生した修正や問題など、リリースの詳細については、.NETCoreリリースノートを参照してください。
最新の.NETCoreアップデートは、 .NETCoreダウンロードページから入手できます。
Dockerイメージ
.NETDockerイメージも更新されました。次のリポジトリが更新されました。
- dotnet / core / sdk:.NET Core SDK
- dotnet / core / aspnet:ASP.NETコアランタイム
- dotnet /コア/ランタイム:.NETコアランタイム
- dotnet / core / runtime-deps:.NETCoreランタイムの依存関係
- dotnet /コア/サンプル:.NETコアサンプル
注:この更新を取得するには、dockerpullまたはdockerbuild --pullを使用して、更新された.NETCoreコンテナーイメージを取得する必要があります。
Visual Studio
このアップデートは、VisualStudioの今後のアップデートに含まれる予定です。
Visual Studioの各バージョンは、このバージョンの.NET CoreSDKでのみサポートされます。Visual Studioのバージョン情報は、.NET CoreSDKのダウンロードページとリリースノートに含まれています。Visual Studioを使用していない場合は、最新のSDKを使用することをお勧めします。