exploitDog

GHSA-vgwq-hfqc-58wv

Опубликовано: 20 окт. 2022

Источник: github

Github: Прошло ревью

CVSS3: 5.5

Описание

.NET Core Information Disclosure Vulnerability

Microsoft is releasing this security advisory to provide information about a vulnerability in .NET 5.0, .NET Core 3.1 and .NET Core 2.1. This advisory also provides guidance on what developers can do to update their applications to remove this vulnerability.

An information disclosure vulnerability exists in .NET 5.0, .NET Core 3.1 and .NET Core 2.1 when dumps created by the tool to collect crash dumps and dumps on demand are created with global read permissions on Linux and macOS.

Patches

If you're using .NET 5.0, you should download and install Runtime 5.0.9 or SDK 5.0.206 (for Visual Studio 2019 v16.8) or SDK 5.0.303 (for Visual Studio 2019 V16.10) from https://dotnet.microsoft.com/download/dotnet-core/5.0.
If you're using .NET Core 3.1, you should download and install Runtime 3.1.18 or SDK 3.1.118 (for Visual Studio 2019 v16.4) or 3.1.412 (for Visual Studio 2019 v16.7 or later) from https://dotnet.microsoft.com/download/dotnet-core/3.1.
If you're using .NET Core 2.1, you should download and install Runtime 2.1.29 or SDK 2.1.525 (for Visual Studio 2019 v15.9) or 2.1.817 from https://dotnet.microsoft.com/download/dotnet-core/2.1.

Other Details

Announcement for this issue can be found at https://github.com/dotnet/announcements/issues/196
An Issue for this can be found at https://github.com/dotnet/runtime/issues/57174
MSRC details for this can be found at https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-34485

Ссылки

Пакеты

Наименование

Microsoft.NETCore.App

nuget

Затронутые версииВерсия исправления

>= 2.1.0, < 2.1.29

2.1.29

Наименование

Microsoft.NETCore.App.Runtime.linux-arm

nuget

Затронутые версииВерсия исправления

>= 3.1.0, < 3.1.18

3.1.18

Наименование

Microsoft.NETCore.App.Runtime.linux-arm64

nuget

Затронутые версииВерсия исправления

>= 3.1.0, < 3.1.18

3.1.18

Наименование

Microsoft.NETCore.App.Runtime.linux-musl-arm64

nuget

Затронутые версииВерсия исправления

>= 3.1.0, < 3.1.18

3.1.18

Наименование

Microsoft.NETCore.App.Runtime.linux-musl-x64

nuget

Затронутые версииВерсия исправления

>= 3.1.0, < 3.1.18

3.1.18

Наименование

Microsoft.NETCore.App.Runtime.linux-x64

nuget

Затронутые версииВерсия исправления

>= 3.1.0, < 3.1.18

3.1.18

Наименование

Microsoft.NETCore.App.Runtime.osx-x64

nuget

Затронутые версииВерсия исправления

>= 3.1.0, < 3.1.18

3.1.18

Наименование

Microsoft.NETCore.App.Runtime.rhel.6-x64

nuget

Затронутые версииВерсия исправления

>= 3.1.0, < 3.1.18

3.1.18

Наименование

Microsoft.NETCore.App.Runtime.win-arm

nuget

Затронутые версииВерсия исправления

>= 3.1.0, < 3.1.18

3.1.18

Наименование

Microsoft.NETCore.App.Runtime.win-arm64

nuget

Затронутые версииВерсия исправления

>= 3.1.0, < 3.1.18

3.1.18

Наименование

Microsoft.NETCore.App.Runtime.win-x64

nuget

Затронутые версииВерсия исправления

>= 3.1.0, < 3.1.18

3.1.18

Наименование

Microsoft.NETCore.App.Runtime.win-x86

nuget

Затронутые версииВерсия исправления

>= 3.1.0, < 3.1.18

3.1.18

Наименование

Microsoft.NETCore.App.Runtime.linux-arm

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.linux-arm64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.linux-musl-arm

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.linux-musl-arm64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.linux-musl-x64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.linux-x64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.Mono.linux-arm

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.Mono.linux-arm64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.Mono.linux-musl-x64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.Mono.linux-x64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.Mono.LLVM.AOT.linux-arm64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.Mono.LLVM.AOT.linux-x64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.Mono.LLVM.AOT.osx-x64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.Mono.LLVM.linux-arm64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.Mono.LLVM.linux-x64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.Mono.LLVM.osx-x64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.Mono.osx-x64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.osx-x64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.win-arm

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.win-arm64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.win-x64

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

Наименование

Microsoft.NETCore.App.Runtime.win-x86

nuget

Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.9

5.0.9

EPSS

Процентиль: 67%

0.00562

Низкий

5.5 Medium

CVSS3

CVE ID

Связанные уязвимости

CVE-2021-34485

CVSS3: 5.5

redhat

почти 4 года назад

.NET Core and Visual Studio Information Disclosure Vulnerability

CVE-2021-34485

CVSS3: 5

nvd

почти 4 года назад

.NET Core and Visual Studio Information Disclosure Vulnerability

CVE-2021-34485

CVSS3: 5

msrc

почти 4 года назад

.NET Core and Visual Studio Information Disclosure Vulnerability

ELSA-2021-3145

oracle-oval

почти 4 года назад

ELSA-2021-3145: .NET Core 2.1 security and bugfix update (LOW)

BDU:2023-06551

CVSS3: 5.5

fstec

почти 4 года назад

Уязвимость средства разработки программного обеспечения Microsoft Visual Studio, связанная с недостаточной защитой служебных данных, позволяющая нарушителю раскрыть защищаемую информацию

EPSS

Процентиль: 67%

0.00562

Низкий

5.5 Medium

CVSS3

CVE ID