exploitDog

GHSA-485p-mrj5-8w2v

Опубликовано: 21 окт. 2022

Источник: github

Github: Прошло ревью

CVSS3: 7.5

Описание

.NET Denial of Service Vulnerability

Microsoft is releasing this security advisory to provide information about a vulnerability in .NET 6.0, .NET 5.0 and .NET Core 3.1. This advisory also provides guidance on what developers can do to update their applications to remove this vulnerability.

A vulnerability exists in .NET 6.0, .NET 5.0 and .NET Core 3.1 where a malicious client can cause a Denial of Service via excess memory allocations through HttpClient.

Affected software

Any .NET 6.0 application running on .NET 6.0.4 or earlier.
Any .NET 5.0 application running .NET 5.0.16 or earlier.
Any .NET Core 3.1 applicaiton running on .NET Core 3.1.24 or earlier.

Patches

If you're using .NET Core 6.0, you should download and install Runtime 6.0.5 or SDK 6.0.105 (for Visual Studio 2022 v17.0) or SDK 6.0.203 (for Visual Studio 2022 v17.1) from https://dotnet.microsoft.com/download/dotnet-core/6.0.
If you're using .NET 5.0, you should download and install Runtime 5.0.17 or SDK 5.0.214 (for Visual Studio 2019 v16.9) or SDK 5.0.408 (for Visual Studio 2011 v16.11) from https://dotnet.microsoft.com/download/dotnet-core/5.0.
If you're using .NET Core 3.1, you should download and install Runtime 3.1.25 or SDK 3.1.419 (for Visual Studio 2019 v16.9 or Visual Studio 2011 16.11 or Visual Studio 2022 17.0 or Visual Studio 2022 17.1 ) from https://dotnet.microsoft.com/download/dotnet-core/3.1.

.NET 6.0, .NET 5.0 and .NET Core 3.1 updates are also available from Microsoft Update. To access this either type "Check for updates" in your Windows search, or open Settings, choose Update & Security and then click Check for Updates.

Other Details

Announcement for this issue can be found at https://github.com/dotnet/announcements/issues/221 An Issue for this can be found at https://github.com/dotnet/runtime/issues/69149 MSRC details for this can be found at https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-23267

Ссылки

Пакеты

Наименование

Microsoft.AspNetCore.App.Runtime.linux-arm

nuget

Затронутые версииВерсия исправления

>= 3.0.0, < 3.1.25

3.1.25

Наименование

Microsoft.AspNetCore.App.Runtime.linux-arm64

nuget

Затронутые версииВерсия исправления

>= 3.0.0, < 3.1.25

3.1.25

Наименование

Microsoft.AspNetCore.App.Runtime.linux-musl-arm64

nuget

Затронутые версииВерсия исправления

>= 3.0.0, < 3.1.25

3.1.25

Наименование

Microsoft.AspNetCore.App.Runtime.linux-musl-x64

nuget

Затронутые версииВерсия исправления

>= 3.0.0, < 3.1.25

3.1.25

Наименование

Microsoft.AspNetCore.App.Runtime.linux-x64

nuget

Затронутые версииВерсия исправления

>= 3.0.0, < 3.1.25

3.1.25

Наименование

Microsoft.AspNetCore.App.Runtime.osx-x64

nuget

Затронутые версииВерсия исправления

>= 3.0.0, < 3.1.25

3.1.25

Наименование

Microsoft.AspNetCore.App.Runtime.win-arm

nuget

Затронутые версииВерсия исправления

>= 3.0.0, < 3.1.25

3.1.25

Наименование

Microsoft.AspNetCore.App.Runtime.win-arm64

nuget

Затронутые версииВерсия исправления

>= 3.0.0, < 3.1.25

3.1.25

Наименование

Microsoft.AspNetCore.App.Runtime.win-x64

nuget

Затронутые версииВерсия исправления

>= 3.0.0, < 3.1.25

3.1.25

Наименование

Microsoft.AspNetCore.App.Runtime.win-x86

nuget

Затронутые версииВерсия исправления

>= 3.0.0, < 3.1.25

3.1.25

Наименование

Microsoft.AspNetCore.App.Runtime.win-x64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.17

5.0.17

Наименование

Microsoft.AspNetCore.App.Runtime.linux-x64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.17

5.0.17

Наименование

Microsoft.AspNetCore.App.Runtime.win-x86

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.17

5.0.17

Наименование

Microsoft.AspNetCore.App.Runtime.osx-x64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.17

5.0.17

Наименование

Microsoft.AspNetCore.App.Runtime.linux-musl-x64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.17

5.0.17

Наименование

Microsoft.AspNetCore.App.Runtime.linux-arm64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.17

5.0.17

Наименование

Microsoft.AspNetCore.App.Runtime.linux-arm

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.17

5.0.17

Наименование

Microsoft.AspNetCore.App.Runtime.win-arm64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.17

5.0.17

Наименование

Microsoft.AspNetCore.App.Runtime.win-arm

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.17

5.0.17

Наименование

Microsoft.AspNetCore.App.Runtime.linux-musl-arm64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.17

5.0.17

Наименование

Microsoft.AspNetCore.App.Runtime.linux-musl-arm

nuget

Затронутые версииВерсия исправления

>= 5.0.1, < 5.0.17

5.0.17

Наименование

Microsoft.AspNetCore.App.Runtime.linux-arm

nuget

Затронутые версииВерсия исправления

>= 6.0.0, < 6.0.5

6.0.5

Наименование

Microsoft.AspNetCore.App.Runtime.linux-arm64

nuget

Затронутые версииВерсия исправления

>= 6.0.0, < 6.0.5

6.0.5

Наименование

Microsoft.AspNetCore.App.Runtime.linux-musl-arm

nuget

Затронутые версииВерсия исправления

>= 6.0.0, < 6.0.5

6.0.5

Наименование

Microsoft.AspNetCore.App.Runtime.linux-musl-arm64

nuget

Затронутые версииВерсия исправления

>= 6.0.0, < 6.0.5

6.0.5

Наименование

Microsoft.AspNetCore.App.Runtime.linux-musl-x64

nuget

Затронутые версииВерсия исправления

>= 6.0.0, < 6.0.5

6.0.5

Наименование

Microsoft.AspNetCore.App.Runtime.linux-x64

nuget

Затронутые версииВерсия исправления

>= 6.0.0, < 6.0.5

6.0.5

Наименование

Microsoft.AspNetCore.App.Runtime.osx-arm64

nuget

Затронутые версииВерсия исправления

>= 6.0.0, < 6.0.5

6.0.5

Наименование

Microsoft.AspNetCore.App.Runtime.osx-x64

nuget

Затронутые версииВерсия исправления

>= 6.0.0, < 6.0.5

6.0.5

Наименование

Microsoft.AspNetCore.App.Runtime.win-arm

nuget

Затронутые версииВерсия исправления

>= 6.0.0, < 6.0.5

6.0.5

Наименование

Microsoft.AspNetCore.App.Runtime.win-arm64

nuget

Затронутые версииВерсия исправления

>= 6.0.0, < 6.0.5

6.0.5

Наименование

Microsoft.AspNetCore.App.Runtime.win-x64

nuget

Затронутые версииВерсия исправления

>= 6.0.0, < 6.0.5

6.0.5

Наименование

Microsoft.AspNetCore.App.Runtime.win-x86

nuget

Затронутые версииВерсия исправления

>= 6.0.0, < 6.0.5

6.0.5

EPSS

Процентиль: 92%

0.08193

Низкий

7.5 High

CVSS3

CVE ID

Дефекты

CWE-400

Связанные уязвимости

CVE-2022-23267

CVSS3: 7.5

redhat

больше 3 лет назад

.NET and Visual Studio Denial of Service Vulnerability

CVE-2022-23267

CVSS3: 7.5

nvd

больше 3 лет назад

.NET and Visual Studio Denial of Service Vulnerability

CVE-2022-23267

CVSS3: 7.5

msrc

больше 3 лет назад

.NET and Visual Studio Denial of Service Vulnerability

BDU:2022-05512

CVSS3: 7.5

fstec

больше 3 лет назад

Уязвимость средства разработки программного обеспечения Microsoft Visual Studio и программной платформы Microsoft.NET Framework, связанная c некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

RLSA-2022:2202

rocky

больше 3 лет назад

Important: .NET Core 3.1 security, bug fix, and enhancement update

EPSS

Процентиль: 92%

0.08193

Низкий

7.5 High

CVSS3

CVE ID

Дефекты

CWE-400