 С момента выхода предыдущих обновлений для .NET 5, а также .NET Core 3.1.x и 2.1.x прошел почти месяц. А значит наступило время очередных версий. В этот раз, кроме исправлений небольшого числа обычных ошибок, было устранено три проблемы связанные с безопасностью. При этом, исправление для .NET Core 2.1 содержит только их и, скорее всего, будет последним. Цикл поддержки данной версии .NET Core подходит к завершению. |
Номера новых версий
- .NET 5.0.9
- .NET Core 3.1.18
- .NET Core 2.1.29
Завершение поддержки .NET 2.1
С августом завершается выпуск обновлений для .NET 2.1. Выпуск дальнейших исправлений и техническая поддержка для этой версии будет прекращен. Однако, использование пакетов ASP.NET Core 2.1 в .NET Framework runtime остается поддерживаемым сценарием.
Что исправлено?
Безопасность
Данной проблеме были подвержены .NET 5 и обе версии .NET Core. При использовании дампов памяти специальным образом существовала возможность раскрытия приватной информации. Злоумышленнику при этом требовался доступ к системе.
Устраненная ошибка позволяла заставить WebSocket бесконечно читать один и тот же кадр (frame). Это давало возможность проведения DoS атаке.
Исправлена еще одна возможность получить данные из системы. В этом случае для этого использовался специальный JWT, который невозможно было прочитать и он позволял войти в систему.
Исправления ошибок
Исправлений ошибок не много. Наиболее интересным из них показалось только одно – в .NET 5.0.9 runtime, указанное по ссылке ниже.
.NET 5.0.9
.NET Core 3.1.18
.NET Core 2.1.29 – Содержит только исправления проблем с безопасностью.
Как скачать
Обновленные версии .NET и .NET Core можно загрузить по следующим адресам:
Обновлены следующие образы для Docker: