Compartir a través de

Microsoft Security Advisory 4021279

  • Artículo

Las vulnerabilidades de .NET Core, ASP.NET Core podrían permitir la elevación de privilegios

Publicado: 9 de mayo de 2017 | Actualizado: 10 de mayo de 2017

Versión: 1.1

Resumen ejecutivo

Microsoft publica este aviso de seguridad para proporcionar información sobre las vulnerabilidades de .NET Core pública y ASP.NET Core. En este aviso también se proporcionan instrucciones sobre qué deben hacer los desarrolladores para actualizar sus aplicaciones correctamente.

.NET Core y ASP.NET Core son la próxima generación de .NET que proporcionan un marco familiar y moderno para escenarios web y en la nube. Estos productos están desarrollados activamente por el equipo de .NET y ASP.NET en colaboración con una comunidad de desarrolladores de código abierto, que se ejecutan en Windows, Mac OS X y Linux. Cuando se publicó .NET Core, el número de versión se restablece a 1.0.0 para reflejar el hecho de que es un producto independiente de su predecesor -.NET.

Problema de CV y descripción

CVE Descripción
CVE-2017-0247 Denegación de servicio
CVE-2017-0248 Omisión de características de seguridad
CVE-2017-0249 Elevación de privilegios
CVE-2017-0256 Suplantación

Software afectado

Las vulnerabilidades afectan a cualquier proyecto de Microsoft .NET Core si usa las siguientes versiones de paquete afectadas.

Paquete y versión afectados
Nombre del paquete Versiones del paquete Versiones fijas del paquete
System.Text.Encodings.Web 4.0.0 4.3.0 4.0.1 4.3.1
System.Net.Http 4.1.1 4.3.1 4.1.2 4.3.2
System.Net.Http.WinHttpHandler 4.0.1 4.3.0 4.0.2 4.3.1
System.Net.Security 4.0.0 4.3.0 4.0.1 4.3.1
System.Net.WebSockets.Client 4.0.0 4.3.0 4.0.1 4.3.1
Microsoft.AspNetCore.Mvc 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Core 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Abstractions 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.ApiExplorer 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Cors 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.DataAnnotations 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Formatters.Json 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Formatters.Xml 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Localization 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Razor.Host 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Razor 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.TagHelpers 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.ViewFeatures 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.WebApiCompatShim 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3

Preguntas más frecuentes sobre asesoramiento

Cómo saber si estoy afectado?
.NET Core y ASP.NET Core tienen dos tipos de dependencias: directa y transitiva. Si el proyecto tiene una dependencia directa o transitiva en cualquiera de los paquetes y versiones enumerados anteriormente, se verá afectado.

Nota:

Como parte de la aplicación de revisiones ASP.NET Core MVC, actualizamos todos los paquetes Microsoft.AspNetCore.Mvc.*. Si, por ejemplo, tiene una dependencia de Microsoft.AspNetCore.Mvc, debe actualizar a la versión adecuada en primer lugar (1.0.x debe actualizarse a 1.0.4, 1.1.x debe actualizarse a 1.1.3) y también actualizará cualquier otra dependencia vulnerable de Microsoft.AspNetCore.Mvc.

Formatos de proyecto de .NET Core

.NET Core tiene dos formatos de archivo de proyecto diferentes, en función del software que creó el proyecto.

  1. project.json es el formato original, incluido en .NET Core 1.0 y Microsoft Visual Studio 2015.
  2. csproj es el formato usado en Microsoft Visual Studio 2017.

Debe asegurarse de seguir las instrucciones de actualización correctas para el tipo de proyecto.

Dependencias directas

Las dependencias directas son dependencias en las que se agrega específicamente un paquete al proyecto. Por ejemplo, si agrega el paquete Microsoft.AspNetCore.Mvc al proyecto, ha tomado una dependencia directa de Microsoft.AspNetCore.Mvc.

Las dependencias directas se pueden detectar revisando el archivo project.json o csproj.

Dependencias transitivas

Las dependencias transitivas se producen cuando se agrega un paquete al proyecto que, a su vez, se basa en otro paquete. Por ejemplo, si agrega el paquete Microsoft.AspNetCore.Mvc al proyecto, depende del paquete Microsoft.AspNetCore.Mvc.Core (entre otros). El proyecto tiene una dependencia directa de Microsoft.AspNetCore.Mvc y una dependencia transitiva en el paquete Microsoft.AspNetCore.Mvc.Core.

Las dependencias transitivas se pueden revisar en la ventana de visual Studio Explorador de soluciones, que admite la búsqueda o revisando el archivo project.lock.json contenido en el directorio raíz del proyecto para proyectos de project.json o el archivo project.assets.json contenido en el directorio obj del proyecto para proyectos de csproj. Estos archivos son la lista autoritativa de todos los paquetes usados por el proyecto, que contienen dependencias directas y transitivas.

Cómo corregir mi aplicación afectada?

Tendrá que corregir las dependencias directas y revisar y corregir las dependencias transitivas. Los paquetes y versiones afectados de la sección anterior "Software afectado" incluyen cada paquete vulnerable, las versiones vulnerables y las versiones revisadas.

Si usa ASP.NET Core MVC en los proyectos, primero debe actualizar la versión Microsoft.AspNetCore.Mvc según la tabla de versiones afectadas anterior. Si actualmente usa la versión 1.0.0, 1.0.1, 1.0.2 o 1.0.3, debe actualizar la versión del paquete a 1.0.4. Si usa la versión 1.1.0, 1.1.1 o 1.1.2, debe actualizar la versión del paquete a 1.1.3. Esto actualizará todos los paquetes de MVC a las versiones fijas.

Corrección de dependencias directas: project.json/VS2015

Abra el archivo project.json en el editor. Busque la sección dependencias. A continuación se muestra una sección de dependencias de ejemplo:

    "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
        "Microsoft.AspNetCore.Mvc ": "1.0.1",
         
      }

Este ejemplo tiene tres dependencias directas: Microsoft.NETCore.App, Microsoft.AspNetCore.Server.Kestrel y Microsoft.AspNetCore.Mvc.

Microsoft.NetCore.App es la plataforma a la que se dirige la aplicación, debe omitir esto. Los demás paquetes exponen su versión a la derecha del nombre del paquete. En nuestro ejemplo, nuestros paquetes que no son de plataforma son la versión 1.0.1.

Revise las dependencias directas para cualquier instancia de los paquetes y versiones enumerados anteriormente. En el ejemplo anterior, hay una dependencia directa de uno de los paquetes vulnerables, Microsoft.AspNetCore.Mvc versión 1.0.1.

Para actualizar al paquete fijo, cambie el número de versión para que sea el paquete adecuado para la versión. En el ejemplo, se actualizaría Microsoft.AspNetCore.Mvc a 1.0.4.

Después de actualizar las versiones del paquete vulnerable, guarde el archivo project.json.

La sección dependencias de nuestro ejemplo project.json ahora tendría el siguiente aspecto:

      "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
        "Microsoft.AspNetCore.Mvc": "1.0.4",
          
      }

Si usa Visual Studio y guarda el archivo de project.json actualizado, Visual Studio restaurará la nueva versión del paquete. Para ver los resultados de la restauración, abra la ventana de salida (Ctrl+Alt+O) y cambie la lista desplegable Mostrar salida de la lista desplegable a Administrador de paquetes.

Si no usa Visual Studio, abra una línea de comandos y cambie al directorio del proyecto. Ejecute el comando dotnet restore para restaurar la nueva dependencia.

Una vez que haya solucionado todas las dependencias directas, también debe revisar las dependencias transitivas.

Corrección de dependencias directas: csproj/VS2017

Abra el archivo projectname.csproj en el editor o haga clic con el botón derecho en el proyecto en Visual Studio 2017 y elija Editar nombredeproyecto.csproj en el menú de contenido, donde projectname es el nombre del proyecto. Busque nodos PackageReference. A continuación se muestra un archivo de proyecto de ejemplo:


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.2">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>

El ejemplo tiene dos dependencias directas del paquete, como se ve en los dos elementos PackageReference. El nombre del paquete está en el atributo Include y el número de versión del paquete se encuentra en el atributo Version que se expone a la derecha del nombre del paquete. En el ejemplo se muestran dos paquetes Microsoft.AspNetCore versión 1.1.1 y Microsoft.AspNetCore.Mvc.Core versión 1.1.2.

Revise los elementos PackageReference para cualquier instancia de los paquetes y versiones enumerados anteriormente. En el ejemplo anterior, hay una dependencia directa de uno de los paquetes vulnerables, Microsoft.AspNetCore.Mvc versión 1.1.2.

Para actualizar al paquete fijo, cambie el número de versión al paquete adecuado para la versión. En el ejemplo, se actualizaría Microsoft.AspNetCore.Mvc a 1.1.3.

Después de actualizar la versión del paquete vulnerable, guarde el archivo csproj.

El ejemplo csproj ahora tendría el siguiente aspecto:


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc.Core" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>

Si usa Visual Studio y guarda el archivo csproj actualizado, Visual Studio restaurará la nueva versión del paquete. Para ver los resultados de la restauración, abra la ventana de salida (Ctrl+Alt+O) y cambie la lista desplegable Mostrar salida de la lista desplegable a Administrador de paquetes.

Si no usa Visual Studio, abra una línea de comandos y cambie al directorio del proyecto. Ejecute el comando dotnet restore para restaurar la nueva dependencia.

Vuelva a compilar la aplicación.

Si después de volver a compilar, verá una advertencia de conflicto de dependencias, debe actualizar las otras dependencias directas a la versión adecuada. Por ejemplo, si el proyecto hace referencia a Microsoft.AspNetCore.Routing con un número de versión de 1.0.1 al actualizar el paquete Microsoft.AspNetCore.Mvc a 1.0.4, se producirá la compilación:

Conflicto de dependencias de NU1012. Microsoft.AspNetCore.Mvc.Core 1.0.4 esperaba Microsoft.AspNetCore.Routing >= 1.0.4, pero recibió 1.0.1

Para corregirlo, edite la versión del paquete esperado para que sea la versión esperada mediante la actualización de csproj o project.json de la misma manera que usó para actualizar las versiones de paquete vulnerables.

Una vez que haya solucionado todas las dependencias directas, también debe revisar las dependencias transitivas.

Revisión de dependencias transitivas

Hay dos maneras de ver las dependencias transitivas. Puede usar el Explorador de soluciones de Visual Studio o puede revisar el archivo de project.lock.json (project.json/VS2015) o project.assets.json (csproj/VS2017).

Uso de Visual Studio Explorador de soluciones (VS2015)

Si desea usar Visual Studio 2015, abra el proyecto en Visual Studio 2015 y presione Ctrl+; para activar la búsqueda en Explorador de soluciones. Busque cada uno de los nombres de paquete vulnerables y anote los números de versión de los resultados que encuentre.

Por ejemplo, la búsqueda de Microsoft.AspNetCore.Mvc.Core en un proyecto de ejemplo que contiene una referencia a Microsoft.AspNetCore.Mvc muestra los siguientes resultados en Visual Studio 2015.

Figura 1: Búsqueda de referencias en Visual Studio 2015

Los resultados de la búsqueda aparecen como un árbol. En estos resultados, puede ver que hemos encontrado referencias a Microsoft.AspNetCore.Mvc, versión 1.0.1, la versión vulnerable.

La primera entrada del encabezado Referencias hace referencia al marco de destino que usa la aplicación. Será . NETCoreApp, . NETStandard o . NET-Framework-vX.Y.Z (donde X.Y.Z es un número de versión real) en función de cómo configuró la aplicación. En la plataforma de destino se mostrará la lista de paquetes en los que ha tomado directamente una dependencia. En este ejemplo, la aplicación toma una dependencia de Microsoft.AspNetCore.Mvc. Microsoft.AspNetCore.Mvc a su vez tiene nodos hoja que enumeran sus dependencias y sus versiones. En este caso, el paquete Microsoft.AspNetCore.Mvc depende de una versión vulnerable de Microsoft.AspNetCore.Mvc.Core y muchos otros paquetes.

Revisar manualmente project.lock.json (project.json/VS2015)

Abra el archivo project.lock.json en el editor. Se recomienda usar un editor que comprenda json y le permita contraer y expandir nodos para revisar este archivo; Tanto Visual Studio como Visual Studio Code proporcionan esta funcionalidad.

Si usa Visual Studio, el archivo project.lock.json está "en" el archivo project.json. Haga clic en el triángulo que apunta a la derecha, •, a la izquierda del archivo project.json para expandir el árbol de soluciones para exponer el archivo project.lock.json. En la figura 1 siguiente se muestra un proyecto con el archivo project.json expandido para mostrar el archivo project.lock.json.

Figura 2: ubicación del archivo de project.lock.json

Busque en el archivo project.lock.json la cadena "Microsoft.AspNetCore.Mvc.Core/1.1.0". Si el archivo project.lock.json incluye esta cadena, tiene una dependencia del paquete vulnerable.

Corrección de dependencias transitivas (project.json/VS2015)

Si no ha encontrado ninguna referencia a ningún paquete vulnerable, esto significa que ninguna de las dependencias directas depende de ningún paquete vulnerable o ya ha corregido el problema actualizando las dependencias directas.

Si la revisión de dependencia transitiva encontró referencias a cualquiera de los paquetes vulnerables, debe agregar una dependencia directa al paquete actualizado al archivo project.json para invalidar la dependencia transitiva. Abra el project.json y busque la sección de dependencias. Por ejemplo:


      "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
        "Microsoft.AspNetCore.Mvc": "1.1.0"
      }

Para cada uno de los paquetes vulnerables que devolvió la búsqueda, debe agregar una dependencia directa a la versión actualizada agregándolo al archivo project.json. Para ello, agregue una nueva línea a la sección dependencias, haciendo referencia a la versión fija. Por ejemplo, si la búsqueda muestra una referencia transitiva a la versión vulnerable de System.Net.Security 4.0.0, agregaría una referencia a la versión fija adecuada, 4.0.1. Edite el archivo project.json de la siguiente manera:


      "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "System.Net.Security": "4.0.1",
        "Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
        "Microsoft.AspNetCore.Mvc": "1.1.1"
      }

Después de agregar dependencias directas a los paquetes fijos, guarde el archivo project.json.

Si usa Visual Studio, guarde el archivo de project.json actualizado y Visual Studio restaurará las nuevas versiones del paquete. Para ver los resultados de la restauración, abra la ventana de salida (Ctrl+Alt+O) y cambie la lista desplegable Mostrar salida de la lista desplegable a Administrador de paquetes.

Si no usa Visual Studio, abra una línea de comandos y cambie al directorio del proyecto. Ejecute el comando dotnet restore para restaurar las nuevas dependencias.

Uso de Visual Studio Explorador de soluciones (VS2017)

Si desea usar Explorador de soluciones, abra el proyecto en Visual Studio 2017 y presione Ctrl+; para activar la búsqueda en Explorador de soluciones. Busque cada uno de los nombres de paquete vulnerables y anote los números de versión de los resultados que encuentre.

Por ejemplo, la búsqueda de Microsoft.AspNetCore.Mvc.Core en un proyecto de ejemplo que contiene un paquete que toma una dependencia de Microsoft.AspNetCore.Mvc muestra los siguientes resultados en Visual Studio 2017.

Figura 3: Búsqueda de referencias en Visual Studio 2017

Los resultados de la búsqueda aparecen como un árbol. En estos resultados, puede ver que hemos encontrado referencias a Microsoft.AspNetCore.Mvc.Core versión 1.1.2.

En el nodo Dependencias será un nodo NuGet. En el nodo NuGet se mostrará la lista de paquetes en los que ha tomado directamente una dependencia de y sus versiones. En este ejemplo, la aplicación toma una dependencia directa de Microsoft.AspNetCore.Mvc. Microsoft.AspNetCore.Mvc a su vez tiene nodos hoja que enumeran sus dependencias y sus versiones. En el ejemplo, el paquete Microsoft.AspNetCore.Mvc toma una dependencia de una versión de Microsoft.AspNetCore.Mvc.ApiExplorer que, a su vez, toma una dependencia de una versión vulnerable de Microsoft.AspNetCore.Mvc.Core.

Revisión manual de project.assets.json (VS2017)

Abra el archivo project.assets.json desde el directorio obj del proyecto en el editor. Se recomienda usar un editor que comprenda json y le permita contraer y expandir nodos para revisar este archivo; Tanto Visual Studio como Visual Studio Code proporcionan esta funcionalidad.

Busque el archivo project.assets.json para cada uno de los nombres de paquete de la tabla de paquetes vulnerables, seguido de un /. Por ejemplo, buscar Microsoft.AspNetCore.Mvc implicaría el uso de una cadena de búsqueda de "Microsoft.AspNetCore.Mvc/". Si el archivo de project.assets.json incluye esta cadena y el número de versión completo (el número después de los resultados de la búsqueda / en cualquier aciertos de búsqueda) coincide con una de las versiones vulnerables enumeradas anteriormente, tiene una dependencia en el paquete vulnerable.

Corrección de dependencias transitivas (csproj/VS2017)

Si no ha encontrado ninguna referencia a ningún paquete vulnerable, esto significa que ninguna de las dependencias directas depende de ningún paquete vulnerable o ya ha corregido el problema actualizando las dependencias directas.

Si la revisión de dependencia transitiva encontró referencias a cualquiera de los paquetes vulnerables, debe agregar una dependencia directa al paquete actualizado al archivo csproj para invalidar la dependencia transitiva. Abra el archivo projectname.csproj en el editor o haga clic con el botón derecho en el proyecto en Visual Studio 2017 y elija Editar nombredeproyecto.csproj en el menú de contenido, donde projectname es el nombre del proyecto. Busque nodos PackageReference, por ejemplo:


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>
</project>

Para cada uno de los paquetes vulnerables que devolvió la búsqueda, debe agregar una dependencia directa a la versión actualizada agregándolo al archivo csproj. Para ello, agregue una nueva línea a la sección dependencias, haciendo referencia a la versión fija. Por ejemplo, si la búsqueda muestra una referencia transitiva a la versión 4.3.0 vulnerable de System.Net.Security, agregaría una referencia a la versión fija adecuada, 4.3.1.


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="System.Net.Security" version="4.3.1">
</packagereference><packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>

Después de agregar la referencia de dependencia directa, guarde el archivo csproj.

Si usa Visual Studio, guarde el archivo csproj actualizado y Visual Studio restaurará las nuevas versiones del paquete. Para ver los resultados de la restauración, abra la ventana de salida (Ctrl+Alt+O) y cambie la lista desplegable Mostrar salida de la lista desplegable a Administrador de paquetes.

Si no usa Visual Studio, abra una línea de comandos y cambie al directorio del proyecto. Ejecute el comando dotnet restore para restaurar las nuevas dependencias.

Recompilación de la aplicación

Por último, vuelva a generar la aplicación, pruebe como haría normalmente y vuelva a implementar mediante el mecanismo de implementación preferido.

Otra información

Informe de problemas de seguridad

  • Si ha encontrado un posible problema de seguridad en .NET Core, envíe por correo electrónico los detalles a . Los informes pueden calificar para la recompensa de errores de .NET Core. Los detalles de la recompensa de errores de .NET Core, incluidos los términos y condiciones, se encuentran en https:.

Programa microsoft Active Protections (MAPP)

Para mejorar las protecciones de seguridad para los clientes, Microsoft proporciona información sobre vulnerabilidades a los principales proveedores de software de seguridad con antelación de cada versión de actualización de seguridad mensual. Después, los proveedores de software de seguridad pueden usar esta información de vulnerabilidad para proporcionar protecciones actualizadas a los clientes a través de su software de seguridad o dispositivos, como antivirus, sistemas de detección de intrusiones basados en red o sistemas de prevención de intrusiones basados en host. Para determinar si las protecciones activas están disponibles en proveedores de software de seguridad, visite los sitios web de protección activa proporcionados por los asociados del programa, enumerados en Asociados del Programa de Protección Activa de Microsoft (MAPP).

Comentarios

Soporte técnico

  • Puede formular preguntas sobre este problema en GitHub en las organizaciones de .NET Core o ASP.NET Core. Estos se encuentran en </https:>https: y </https:https:>. El repositorio Anuncios de cada producto (https://github.com/dotnet/Announcements y https://github.com/aspnet/Announcements) contendrá este aviso como un problema e incluirá un vínculo a un problema de discusión en el que puede formular preguntas.
  • Los clientes de la Estados Unidos y Canadá pueden recibir soporte técnico del soporte técnico de soporte técnico. Para obtener más información, consulte Ayuda y soporte técnico de Microsoft.
  • Los clientes internacionales pueden recibir soporte técnico de sus subsidiarias locales de Microsoft. Para obtener más información, consulte Asistencia internacional. * Microsoft TechNet Security proporciona información adicional sobre la seguridad en los productos de Microsoft.

Agradecimientos

Microsoft agradece lo siguiente por trabajar con nosotros para ayudar a proteger a los clientes:

Declinación de responsabilidades

La información proporcionada en este aviso se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.

Revisiones

  • V1.0 (9 de mayo de 2017): Aviso publicado.
  • V1.1 (10 de mayo de 2017): aviso revisado para incluir una tabla de problemas de las CVC y sus descripciones. Solo se trata de un cambio informativo.

Página generada 2017-05-10 13:08-07:00. </https:>