Microsoft.AspNetCore DoS 漏洞,.Net Framework 项目如何解决

【问题标题】:Microsoft.AspNetCore DoS vulnerability, how to resolve for .Net Framework projectsMicrosoft.AspNetCore DoS 漏洞,.Net Framework 项目如何解决
【发布时间】:2019-10-25 14:32:22
【问题描述】:

我有一个针对 .Net Framework 4.6 的 .Net Web API 项目,在这个项目中我有 Microsoft.AspNetCore 2.2.0.0 DLL。

我了解到 Microsoft.AspNetCore 2.2.0.0 DLL 存在 DoS(拒绝服务)安全漏洞。

https://github.com/aspnet/AspNetCore/issues/6488

当我查看建议的解决方案时,它说升级到版本 2.7,现在的问题是我无法升级到 2.7,因为我可以升级到的 .Net Framework 的最高版本是我已经拥有的 2.2.0.0。

查询:

  1. 此安全漏洞是否仅适用于通过定位创建的应用 .Net Core 而不是 .Net Framework,即使 Microsoft.AspNetCore 用的是2.2.0.0的库吗?

  2. 如果 first 是真的,那是否意味着我不需要为这个安全漏洞做任何事情?如果不是,那么我应该怎么做才能克服这个安全问题(鉴于我无法在 .Net Framework 项目中将 Microsoft.AspNetCore 升级到 2.7)?

【问题讨论】:

    标签: asp.net


    【解决方案1】:

    我们所有的安全公告都包含描述如何检测您是否受到影响以及如何更新的部分。链接的问题在“咨询常见问题解答”中对此进行了说明。在这种情况下,您需要安装最新版本的 Windows Hosting Bundle。 即使您使用的是 .NET Framework 也是如此。该特定漏洞位于 IIS 的 ASP.NET Core 模块中,该模块是允许您在 IIS 中托管 ASP.NET Core 应用程序(在 .NET Core 和 .NET Framework 上)的本机组件。如果您安装托管捆绑包,则应保护您的所有 ASP.NET Core 应用程序(包括面向 .NET Framework 的应用程序)免受此问题的影响。常见问题解答还包括有关如何验证您是否安装了正确版本的说明(使用 PowerShell 脚本检查 aspnetcore.dll 文件的版本号)

    对于软件包:我们不会为每个补丁版本更新每个软件包。仅更新受影响的软件包。 Microsoft.AspNetCore 软件包根本没有打补丁,所以它仍然在 2.2.0。其他软件包,如Microsoft.AspNetCore.Mvc.RazorPages 已经有一些补丁,所以它们的版本类似于2.2.5。您应始终确保所有以 Microsoft.AspNetCore 开头的软件包都安装了最新的补丁版本(版本号的第三部分),以便获得所有必要的安全更新。

    【讨论】:

      猜你喜欢
      • 2021-08-20
      • 2022-01-16
      • 2022-01-16
      • 2021-12-15
      • 1970-01-01
      • 1970-01-01
      • 2012-01-04
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode