.NET Core-Updates für Juli 2020 - 2.1.20 und 3.1.6

Das .NET Core-Update vom Juli wurde letzte Woche veröffentlicht. Es enthält Sicherheitskorrekturen und Zuverlässigkeitsverbesserungen. Einzelheiten zu aktualisierten Paketen finden Sie in den einzelnen Versionshinweisen. Dieser Artikel fasst die Sicherheitsverbesserungen zusammen.

Sicherheit

Sicherheitsanfälligkeit CVE-2020-1147:



Sicherheitsanfälligkeit in .NET Core Remote Code Execution Microsoft veröffentlicht diese Sicherheitsempfehlung, um Informationen zur Sicherheitsanfälligkeit in .NET Core bereitzustellen. Dieses Handbuch enthält auch Anleitungen dazu, wie Entwickler ihre Anwendungen aktualisieren können, um diese Sicherheitsanfälligkeit zu beheben.



Microsoft ist eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in .NET-Software bekannt, bei der die Software das ursprüngliche Markup einer XML-Datei nicht überprüfen kann. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen.



Ein nicht authentifizierter Remoteangreifer kann diese Sicherheitsanfälligkeit ausnutzen, indem er speziell gestaltete Anforderungen an eine ASP.NET Core-Anwendung oder eine andere Anwendung sendet, die bestimmte XML-Typen analysiert.



Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem die Typen begrenzt werden, die in einer XML-Nutzlast vorhanden sein können.

Hol dir das Update

• .NET - Core 3.1.6 und .NET - Core - SDK (  Herunterladen  |  Release Notes  )
• .NET - Core 2.1.20 und .NET - Core - SDK (  Herunterladen  |  Release Notes  )

In den Versionshinweisen zu .NET Core finden Sie Details zur Version, einschließlich der behobenen Korrekturen und Probleme.



Die neuesten .NET Core-Updates finden Sie auf der .NET Core-Downloadseite.

Docker-Bilder

.NET Docker-Images wurden ebenfalls aktualisiert. Die folgenden Repositorys wurden aktualisiert:

• dotnet / core / sdk : .NET Core SDK
• dotnet / core / aspnet : ASP.NET Core Runtime
• dotnet / core / runtime : .NET Core Runtime
• dotnet / core / runtime-deps : .NET Core-Laufzeitabhängigkeiten
• dotnet / core / samples : .NET Core-Beispiele

Hinweis: Um dieses Update zu erhalten, müssen Sie die aktualisierten .NET Core-Container-Images entweder mit Docker Pull oder Docker Build --pull abrufen.

Visual Studio

Dieses Update wird in einem zukünftigen Update für Visual Studio enthalten sein.



Jede Version von Visual Studio wird nur mit dieser Version des .NET Core SDK unterstützt. Informationen zur Visual Studio-Version finden Sie auf den Downloadseiten und Versionshinweisen zu .NET Core SDK. Wenn Sie Visual Studio nicht verwenden, empfehlen wir die Verwendung des neuesten SDK.