Andrey on .NET | Августовские обновления .NET / .NET Core

Августовские обновления .NET / .NET Core

.NET logoС момента выхода предыдущих обновлений для .NET 5, а также .NET Core 3.1.x и 2.1.x прошел почти месяц. А значит наступило время очередных версий. В этот раз, кроме исправлений небольшого числа обычных ошибок, было устранено три проблемы связанные с безопасностью. При этом, исправление для .NET Core 2.1 содержит только их и, скорее всего, будет последним. Цикл поддержки данной версии .NET Core подходит к завершению.

Номера новых версий

  • .NET 5.0.9
  • .NET Core 3.1.18
  • .NET Core 2.1.29

Завершение поддержки .NET 2.1

С августом завершается выпуск обновлений для .NET 2.1. Выпуск дальнейших исправлений и техническая поддержка для этой версии будет прекращен. Однако, использование пакетов ASP.NET Core 2.1 в .NET Framework runtime остается поддерживаемым сценарием.

Что исправлено?

Безопасность

Данной проблеме были подвержены .NET 5 и обе версии .NET Core. При использовании дампов памяти специальным образом существовала возможность раскрытия приватной информации. Злоумышленнику при этом требовался доступ к системе.

Устраненная ошибка позволяла заставить WebSocket бесконечно читать один и тот же кадр (frame). Это давало возможность проведения DoS атаке.

Исправлена еще одна возможность получить данные из системы. В этом случае для этого использовался специальный JWT, который невозможно было прочитать и он позволял войти в систему.

Исправления ошибок

Исправлений ошибок не много. Наиболее интересным из них показалось только одно – в .NET 5.0.9 runtime, указанное по ссылке ниже.

.NET 5.0.9

.NET Core 3.1.18

.NET Core 2.1.29 – Содержит только исправления проблем с безопасностью.

Как скачать

Обновленные версии .NET и .NET Core можно загрузить по следующим адресам:

Обновлены следующие образы для Docker:

Добавить комментарий