 После отсутствия обновлений в декабре, вышли январские обновления актуальных версий .NET. Они включают как исправления проблем с безопасностью, так и устранение обычных ошибок. |
Номера новых версий
- .NET 8.0.1 (SDK - 8.0.101)
- .NET 7.0.15 (SDK - 7.0.405)
- .NET 6.0.26 (SDK - 6.0.418
Что исправлено?
Исправления проблем с безопасностью
Данная уязвимость затрагивала библиотеки Microsoft.Data.SqlClient и System.Data.SqlClient. Она позволяла провести атаку AiTM (adversary-in-the-middle), когда атакующий находится между SQL сервером и клиентом. В результате злоумышленник мог получить учетные данные клиента, даже если устанавливалось соединение с использованием TLS.
В предыдущих версиях существовала проблема при валидации цепочки X.509 сертификатов: при сбое построения цепочки сертификатов, из-за наличия в ней недоверенного сертификата, выдавался не правильный код ошибки. В определенных сценариях, приложение могло рассматривать полученный код ошибки как успешную сборку цепочки. В результате атакующая сторона нарушала логику работы системы проверки подлинности сертификатов в приложении.
Эта ошибка позволяла проводить DoS атаки с использованием специального созданного JWT токена, который приводил к повышенному расходу памяти, что могло привести к отсутствию свободной памяти на сервере и не возможностью его дальнейшей работы.
Исправления ошибок
.NET 8.0.1
.NET 7.0.15
.NET 6.0.26
Где скачать?
Обновленные версии .NET можно загрузить по следующим адресам:
Также можно использовать менеджер winget:
- установить runtime:winget install dotnet-runtime-8
- установить SDK: winget install dotnet-sdk-8
- обновить: winget upgrade [имя пакета]
Обновленные образы для Docker как всегда доступны по адресам: