Компания Microsoft выпустила очередные обновления для .NET Core: 2.1.7 и 2.2.1. В них устранены ошибки, которые могли привести к проблемам с безопасностью приложения, а также появилась поддержка Windows ARM. |
Что изменилось?
Устранены следующие проблемы с безопасностью:
- CVE-2019-0545: .NET Core Information Disclosure Vulnerability. Актуально для .NET Core 2.1 и 2.2.
Данная уязвимость связана с настройками Cross-origin Resource Sharing (CORS). Злоумышленник мог использовать ее для получения контента, которые обычно не доступен в веб приложении.
- CVE-2019-0548: ASP.NET Core Denial Of Service Vulnerability. Актуально для .NET Core 2.1 и 2.2.
Уязвимость проявлялась при использовании IIS в качестве хостинга. Злоумышленник мог использовать специальный запрос для проведения DDoS атаки.
- CVE-2019-0564: ASP.NET Core Denial Of Service Vulnerability. Актуально для .NET Core 2.1 и 2.2.
Эта уязвимость аналогична предыдущей.
- CVE-2018-8416: .NET Core Tampering Vulnerability. Актуально только для .NET Core 2.1.
Данная уязвимость проявлялась в .NET Core 2.1 при обработке специально файлов, созданных определенным образом. В результате злоумышленник получал ограниченный контроль над рядом папок и мог создавать там свои файлы и папки.
Поддержка Windows ARM
Новые версии впервые доступны для Windows Server, версии 1809 ARM32. Дистрибутивы для этой платформы доступны на странице загрузок .NET Core.
Доступность в Azure App Services
Обновленные версии .NET Core 2.x уже доступна во всех регионах.
Как скачать
Последние версии .NET Core и Core SDK всегда можно получить со страницы загрузок .NET Core
Доступны образы для Docker:
Подробности о том, как работать с образами можно найти в статье "Staying up-to-date with .NET Container Images".