Июньские обновления .NET

- Новости

.NET logo Вышли очередные обновления .NET 6 и 7. В этот раз, кроме исправлений обычных ошибок, было устранено большое количество проблем связанных с безопасностью приложений и самого .NET.

Номера новых версий

  • .NET 7.0.7 (SDK - 7.0.304)
  • .NET 6.0.18 (SDK - 6.0.410)

Что исправлено?

Исправления проблем с безопасностью

Ошибка позволяла исполнять удаленный код используя особенности обработки элементов XAML.

Исправленная ошибка позволяла выполнять удаленный код используя особенности .NET при чтении отладочных символов.

Проблема с безопасностью существовала при десериализации DataSet и DataTable из XML и могла приводить к повышению привилегий кода.

В прошлых версиях .NET обработка X.509 сертификатов могла приводить к DoS атаке.

В NuGet существовали условия при которых возникало состояние гонки (race condition), которое могло привести к выполнению удаленного кода.

Распаковка специального созданного tar файла могла приводить к повышению привилегий кода.

Данная уязвимость проявлялась при падении кода и могла приводить к загрузке произвольного бинарного кода.

Сгенерированный код вызовов P/Invoke (source generators) мог оставлять неинициализированную память, которую можно было использовать для выполнения произвольного кода.

При восстановлении инструментов .NET была возможность повышения привилегий.

Исправления ошибок

.NET 7.0.7

.NET 6.0.18

Поддерживаемые ОС

В список поддерживаемых ОС добавлена Ubuntu 23.10 (Mantic Minotaur).

Где скачать?

Обновленные версии .NET можно загрузить по следующим адресам:

Также можно использовать менеджер winget:

  • установить runtime:winget install dotnet-runtime-7
  • установить SDK: winget install dotnet-sdk-7
  • обновить: winget upgrade [имя пакета]

Обновленные образы для Docker как всегда доступны по адресам: