Andrey on .NET

Вышли очередные обновления .NET 6 и 7 в которых, кроме исправлений обычных ошибок, устранен ряд проблем с безопасностью.

Номера новых версий

• .NET 7.0.11 (SDK - 7.0.401)
• .NET 6.0.22 (SDK - 6.0.414)

Что исправлено?

Исправления проблем с безопасностью

Все описанные ниже проблемы были исправлены как в .NET 6, так и в .NET 7.

****- CVE-2023-36792 – .NET Remote Code Execution Vulnerability

• CVE-2023-36793 – .NET Remote Code Execution Vulnerability
• CVE-2023-36794 – .NET Remote Code Execution Vulnerability
• CVE-2023-36796 – .NET Remote Code Execution Vulnerability

Все перечисленные проблемы существовали в Microsoft.DiaSymReader.Native.amd64.dll и проявлялись при загрузке специально созданного PDB, который мог выполнить произвольный (вредоносный) код.

• CVE-2023-36799 – .NET Denial of Service Vulnerability

Загрузка специального созданного X.509 сертификата могла приводить к отказу в обслуживании (Denial of Service).

Исправления ошибок

.NET 7.0.11

• Runtime
• SDK (исправлена 1 ошибка)
  • \[Containers\] validate that the normalized repository name is a meaningful name

.NET 6.0.22

• Runtime
• SDK (исправлена 1 ошибка)
  • \[Containers\] validate that the normalized repository name is a meaningful name

Где скачать?

Обновленные версии .NET можно загрузить по следующим адресам:

• .NET 7.0.11
• .NET 6.0.22

Также можно использовать менеджер winget:

• установить runtime:winget install dotnet-runtime-7
• установить SDK: winget install dotnet-sdk-7
• обновить: winget upgrade [имя пакета]

Обновленные образы для Docker как всегда доступны по адресам:

• dotnet/sdk: .NET SDK
• dotnet/aspnet: ASP.NET Core Runtime
• dotnet/runtime: .NET Runtime
• dotnet/runtime-deps: .NET Runtime Dependencies
• dotnet/samples: .NET Samples