Microsoft a publié une mise à jour de sécurité dans le système de base .NET qui corrige le problème CVE-2020-1108 détecté dans le cadre. Il s'agissait d'un problème critique qui a entraîné la capacité de mener un déni de service (DoS) attaques pouvant être utilisées pour saboter les réseaux informatiques.
Microsoft corrige la bibliothèque .NET Core pour corriger la vulnérabilité CVE-2020-1108
Le .NET Core a été mis à jour par l'équipe de sécurité de Microsoft car une faille très dangereuse y a été identifiée. Le problème a été documenté dans le Avis CVE-2020-1108. Selon la description, le cœur du problème concerne la façon dont les modules .NET Core et Framework gèrent les requêtes Web.. Les systèmes non corrigés peuvent être exploités à distance sans authentification de la part des pirates. Cela peut être fait en créant des demandes de paquets spécialement conçues qui déclenchera la réaction.
Un exemple de comportement d'attaque peut être la découverte de ces anciennes installations des frameworks .NET Core et .NET. C'est très facile car les pirates peuvent insérer les filtres appropriés en recherchant le code préparé pour les applications Web. Une fois qu'ils ont lancé leurs boîtes à outils respectives, un rapport sera généré indiquant les sites vulnérables. Voici des exemples courants d'applications et de services Web complexes du framework .NET::
- Systèmes CRM basés sur le cloud
- Outils collaboratifs en ligne
- Réseaux sociaux et communautés en ligne
- Outils de productivité
La gravité est évaluée comme important car il affecte les applications basées sur le framework .NET. Il s'agit de l'un des moyens les plus importants et les plus fréquemment utilisés pour créer une application pour la famille de systèmes d'exploitation Microsoft Windows..
Les développeurs de produits .NET devraient accorder une attention particulière, car la plupart d'entre eux installent généralement plusieurs packages différents du framework.. S'ils ont plusieurs versions de .NET Core placées sur leurs postes de travail, ils devront installer plusieurs mises à jour d'exécution, afin que tous les environnements résolvent le problème.