سلامة
الثغرة الأمنية CVE-2020-1147: ثغرة أمنية في تنفيذ التعليمات البرمجية البعيدة لـ .NET Core تقوم
Microsoft بإصدار هذا النصائح الأمنية لتوفير معلومات حول ثغرة .NET Core. يوفر هذا الدليل أيضًا إرشادات حول ما يمكن للمطورين القيام به لتحديث تطبيقاتهم لمعالجة هذه الثغرة الأمنية.
تعلم Microsoft بوجود ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في برنامج .NET حيث يتعذر على البرنامج التحقق من صحة العلامات الأصلية لملف XML. يمكن للمهاجم الذي نجح في استغلال هذه الثغرة الأمنية تشغيل تعليمات برمجية عشوائية في سياق المستخدم الحالي.
يمكن لمهاجم بعيد لم تتم مصادقته استغلال هذه الثغرة الأمنية بإرسال طلبات معدة خصيصًا إلى تطبيق ASP.NET Core أو تطبيق آخر يوزع أنواعًا معينة من XML.
يعالج التحديث الأمني الثغرة الأمنية عن طريق تقييد الأنواع التي يمكن أن تكون موجودة في حمولة XML.
احصل على التحديث
- NET Core 3.1.6 و .NET Core SDK ( تنزيل | ملاحظات الإصدار )
- NET Core 2.1.20 و .NET Core SDK ( تنزيل | ملاحظات الإصدار )
راجع ملاحظات إصدار .NET Core للحصول على تفاصيل الإصدار ، بما في ذلك المشكلات التي تم إصلاحها والمثيرة.
تتوفر آخر تحديثات .NET Core في صفحة تنزيل .NET Core.
صور عامل ميناء
تم أيضًا تحديث صور .NET Docker. تم تحديث المستودعات التالية:
- dotnet / core / sdk : .NET Core SDK
- dotnet / core / aspnet : ASP.NET Core Runtime
- dotnet / core / وقت التشغيل : .NET Core Runtime
- dotnet / core / runtime-deps : تبعيات وقت التشغيل الأساسية .NET
- دوت نت / كور / عينات : عينات أساسية دوت نت
ملاحظة: للحصول على هذا التحديث ، يجب أن تحصل على صور حاوية NET Core المحدثة إما باستخدام Docker pull أو docker build --pull.
استوديو مرئي
سيتم تضمين هذا التحديث في تحديث مستقبلي لبرنامج Visual Studio.
يتم دعم كل إصدار من Visual Studio فقط مع هذا الإصدار من .NET Core SDK. يتم تضمين معلومات إصدار Visual Studio في صفحات تنزيل .NET Core SDK وملاحظات الإصدار. إذا كنت لا تستخدم Visual Studio ، نوصي باستخدام أحدث SDK.