Компания Microsoft в очередной раз обновила .NET Core версий 1.x и 2.x. Как и ранее, обновление исправляет уязвимости, которые позволяли злоумышленникам атаковать .NET Core приложения.

Номера новых версий

• .NET Core 1.x – 1.0.16, 1.1.14
• .NET Core 2.x – 2.1.11, 2.2.5

Что изменилось?

Устранены следующие проблемы с безопасностью:

• CVE-2019-0820: .NET Core Tampering Vulnerability

Некорректная обработка кодом .NET Core строк RegEx позволяла при помощи специально созданных запросов провести DoS атаку.

• CVE-2019-0980: ASP.NET Core Denial of Service Vulnerability
• CVE-2019-0981: ASP.NET Core Denial of Service Vulnerability
• CVE-2019-0982: ASP.NET Core Denial of Service Vulnerability

Данные три уязвимости схожи по сути. Они проявлялись в возможности использовать специально созданные запросы для DoS атаки на .NET Core приложения. При этом не важно, требовалась или нет аутентификация для доступа к ресурсу..

Доступность в Azure App Services

Обновленные версии .NET Core будут установлены во всех регионах Azure до 26 мая.

Как скачать

Последние версии .NET Core и Core SDK всегда можно получить со страницы загрузок .NET Core

Доступны образы для Docker:

• microsoft/dotnet
• microsoft/dotnet-samples
• microsoft/aspnetcore

Подробности о том, как работать с образами можно найти в статье "Staying up-to-date with .NET Container Images".