Partager via

Conseils de sécurité Microsoft 4021279

  • Article

Les vulnérabilités dans .NET Core, ASP.NET Core pourraient autoriser l’élévation de privilèges

Publication : 9 mai 2017 | Mise à jour : 10 mai 2017

Version : 1.1

Résumé

Microsoft publie cet avis de sécurité pour fournir des informations sur les vulnérabilités dans .NET Core public et ASP.NET Core. Cet avis fournit également des conseils sur ce que les développeurs peuvent faire pour mettre à jour leurs applications correctement.

.NET Core & ASP.NET Core sont la prochaine génération de .NET qui fournit un framework familier et moderne pour les scénarios web et cloud. Ces produits sont développés activement par l’équipe .NET et ASP.NET en collaboration avec une communauté de développeurs code source ouvert, s’exécutant sur Windows, Mac OS X et Linux. Lorsque .NET Core a été publié, le numéro de version a été réinitialisé à la version 1.0.0 pour refléter le fait qu’il s’agit d’un produit distinct de son prédécesseur -.NET.

Problèmes de cv et de description

CVE Description
CVE-2017-0247 Déni de service
CVE-2017-0248 Contournement des fonctionnalités de sécurité
CVE-2017-0249 Élévation de privilège
CVE-2017-0256 Usurpation

Logiciel affecté

Les vulnérabilités affectent tout projet Microsoft .NET Core s’il utilise les versions de package affectées suivantes.

Package affecté et version
Nom du package Versions de package Versions de package fixes
System.Text.Encodings.Web 4.0.0 4.3.0 4.0.1 4.3.1
System.Net.Http 4.1.1 4.3.1 4.1.2 4.3.2
System.Net.Http.WinHttpHandler 4.0.1 4.3.0 4.0.2 4.3.1
System.Net.Security 4.0.0 4.3.0 4.0.1 4.3.1
System.Net.WebSockets.Client 4.0.0 4.3.0 4.0.1 4.3.1
Microsoft.AspNetCore.Mvc 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Core 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Abstractions 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.ApiExplorer 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Cors 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.DataAnnotations 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Formatters.Json 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Formatters.Xml 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Localization 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Razor.Host 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Razor 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.TagHelpers 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.ViewFeatures 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.WebApiCompatShim 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3

Faq sur les conseils

Comment faire savoir si je suis affecté ?
.NET Core et ASP.NET Core ont deux types de dépendances : direct et transitif. Si votre projet a une dépendance directe ou transitive sur l’un des packages et versions répertoriés précédemment, vous êtes affecté.

Remarque

Dans le cadre de la mise à jour corrective ASP.NET Core MVC, nous mettons à jour chaque package Microsoft.AspNetCore.Mvc.*. Si, par exemple, vous avez une dépendance sur Microsoft.AspNetCore.Mvc, vous devez d’abord mettre à jour vers la version appropriée (1.0.x doit être mis à jour vers la version 1.0.4, 1.1.x doit être mise à jour vers la version 1.1.3), et elle met également à jour toute autre dépendance Microsoft.AspNetCore.Mvc vulnérable.

Formats de projet .NET Core

.NET Core a deux formats de fichiers projet différents, selon le logiciel créé par le projet.

  1. project.json est le format d’origine, inclus dans .NET Core 1.0 et Microsoft Visual Studio 2015.
  2. csproj est le format utilisé dans Microsoft Visual Studio 2017.

Vous devez vous assurer que vous suivez les instructions de mise à jour correctes pour votre type de projet.

Dépendances directes

Les dépendances directes sont des dépendances où vous ajoutez spécifiquement un package à votre projet. Par exemple, si vous ajoutez le package Microsoft.AspNetCore.Mvc à votre projet, vous avez pris une dépendance directe sur Microsoft.AspNetCore.Mvc.

Les dépendances directes sont détectables en examinant votre fichier project.json ou csproj.

Dépendances transitives

Les dépendances transitives se produisent lorsque vous ajoutez un package à votre projet qui s’appuie à son tour sur un autre package. Par exemple, si vous ajoutez le package Microsoft.AspNetCore.Mvc à votre projet, il dépend du package Microsoft.AspNetCore.Mvc.Core (entre autres). Votre projet a une dépendance directe sur Microsoft.AspNetCore.Mvc et une dépendance transitive sur le package Microsoft.AspNetCore.Mvc.Core.

Les dépendances transitives peuvent être examinées dans la fenêtre Explorateur de solutions Visual Studio, qui prend en charge la recherche ou en examinant le fichier project.lock.json contenu dans le répertoire racine de votre projet pour project.json projets ou le fichier project.assets.json contenu dans le répertoire obj de votre projet pour les projets csproj. Ces fichiers sont la liste faisant autorité de tous les packages utilisés par votre projet, contenant des dépendances directes et transitives.

Comment faire corriger mon application affectée ?

Vous devez corriger les dépendances directes et passer en revue et corriger toutes les dépendances transitives. Les packages et versions affectés de la section précédente « Logiciels affectés » incluent chaque package vulnérable, les versions vulnérables et les versions corrigées.

Si vous utilisez ASP.NET Core MVC dans vos projets, vous devez d’abord mettre à jour la version de Microsoft.AspNetCore.Mvc en fonction du tableau des versions affectées précédentes. Si vous utilisez actuellement la version 1.0.0, 1.0.1, 1.0.2 ou 1.0.3, vous devez mettre à jour votre version de package vers la version 1.0.4. Si vous utilisez la version 1.1.0, 1.1.1 ou 1.1.2, vous devez mettre à jour votre version de package vers la version 1.1.3. Cela met à jour chaque package MVC vers les versions fixes.

Résolution des dépendances directes - project.json/VS2015

Ouvrez votre fichier project.json dans votre éditeur. Recherchez la section dépendances. Voici un exemple de section dépendances :

    "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
        "Microsoft.AspNetCore.Mvc ": "1.0.1",
         
      }

Cet exemple comporte trois dépendances directes : Microsoft.NETCore.App, Microsoft.AspNetCore.Server.Kestrel et Microsoft.AspNetCore.Mvc.

Microsoft.NetCore.App est la plateforme que cible l’application, vous devez ignorer cela. Les autres packages exposent leur version à droite du nom du package. Dans notre exemple, nos packages non-plateforme sont la version 1.0.1.

Passez en revue vos dépendances directes pour n’importe quelle instance des packages et versions répertoriés précédemment. Dans l’exemple précédent, il existe une dépendance directe sur l’un des packages vulnérables, Microsoft.AspNetCore.Mvc version 1.0.1.

Pour effectuer une mise à jour vers le package fixe, remplacez le numéro de version par le package approprié pour votre version. Dans l’exemple, il s’agit de mettre à jour Microsoft.AspNetCore.Mvc vers la version 1.0.4.

Après avoir mis à jour les versions de package vulnérables, enregistrez votre fichier project.json.

La section dépendances de notre exemple project.json se présente désormais comme suit :

      "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
        "Microsoft.AspNetCore.Mvc": "1.0.4",
          
      }

Si vous utilisez Visual Studio et enregistrez votre fichier project.json mis à jour, Visual Studio restaure la nouvelle version du package. Vous pouvez voir les résultats de la restauration en ouvrant la fenêtre sortie (Ctrl+Alt+O) et en modifiant la sortie Afficher la sortie de la liste déroulante en Gestionnaire de package.

Si vous n’utilisez pas Visual Studio, ouvrez une ligne de commande et passez au répertoire de votre projet. Exécutez la commande dotnet restore pour restaurer votre nouvelle dépendance.

Une fois que vous avez traité toutes vos dépendances directes, vous devez également passer en revue vos dépendances transitives.

Correction des dépendances directes - csproj/VS2017

Ouvrez votre fichier projectname.csproj dans votre éditeur, ou cliquez avec le bouton droit sur le projet dans Visual Studio 2017, puis choisissez Modifier projectname.csproj dans le menu de contenu, où nom_projet est le nom de votre projet. Recherchez les nœuds PackageReference. Voici un exemple de fichier projet :


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.2">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>

L’exemple comporte deux dépendances de package directes, comme l’illustrent les deux éléments PackageReference. Le nom du package se trouve dans l’attribut Include et le numéro de version du package se trouve dans l’attribut Version exposé à droite du nom du package. L’exemple montre deux packages Microsoft.AspNetCore version 1.1.1 et Microsoft.AspNetCore.Mvc.Core version 1.1.2.

Passez en revue vos éléments PackageReference pour n’importe quelle instance des packages et versions répertoriés précédemment. Dans l’exemple précédent, il existe une dépendance directe sur l’un des packages vulnérables, Microsoft.AspNetCore.Mvc version 1.1.2.

Pour effectuer une mise à jour vers le package fixe, remplacez le numéro de version par le package approprié pour votre version. Dans l’exemple, il s’agit de mettre à jour Microsoft.AspNetCore.Mvc vers la version 1.1.3.

Après avoir mis à jour la version du package vulnérable, enregistrez votre fichier csproj.

L’exemple csproj se présente maintenant comme suit :


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc.Core" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>

Si vous utilisez Visual Studio et enregistrez votre fichier csproj mis à jour, Visual Studio restaure la nouvelle version du package. Vous pouvez voir les résultats de la restauration en ouvrant la fenêtre sortie (Ctrl+Alt+O) et en modifiant la sortie Afficher la sortie de la liste déroulante en Gestionnaire de package.

Si vous n’utilisez pas Visual Studio, ouvrez une ligne de commande et passez au répertoire de votre projet. Exécutez la commande dotnet restore pour restaurer votre nouvelle dépendance.

Recompilez votre application.

Si, après la recompilation, vous voyez un avertissement de conflit de dépendances, vous devez mettre à jour vos autres dépendances directes vers la version appropriée. Par exemple, si votre projet fait référence à Microsoft.AspNetCore.Routing avec un numéro de version de 1.0.1 lorsque vous mettez à jour votre package Microsoft.AspNetCore.Mvc vers la version 1.0.4, la compilation lève :

Conflit de dépendances NU1012. Microsoft.AspNetCore.Mvc.Core 1.0.4 attendu Microsoft.AspNetCore.Routing >= 1.0.4, mais a reçu 1.0.1

Pour résoudre ce problème, modifiez la version du package attendu en mettant à jour votre csproj ou project.json de la même façon que vous avez utilisé pour mettre à jour les versions de package vulnérables.

Une fois que vous avez traité toutes vos dépendances directes, vous devez également passer en revue vos dépendances transitives.

Examen des dépendances transitives

Il existe deux façons d’afficher les dépendances transitives. Vous pouvez utiliser le Explorateur de solutions de Visual Studio ou consulter votre fichier project.lock.json (project.json/VS2015) ou project.assets.json (csproj/VS2017).

Utilisation de Visual Studio Explorateur de solutions (VS2015)

Si vous souhaitez utiliser Visual Studio 2015, ouvrez votre projet dans Visual Studio 2015, puis appuyez sur Ctrl+ ; pour activer la recherche dans Explorateur de solutions. Recherchez chacun des noms de package vulnérables et notez les numéros de version des résultats que vous trouvez.

Par exemple, la recherche de Microsoft.AspNetCore.Mvc.Core dans un exemple de projet qui contient une référence à Microsoft.AspNetCore.Mvc montre les résultats suivants dans Visual Studio 2015.

Figure 1 : Recherche de références dans Visual Studio 2015

Les résultats de la recherche apparaissent sous forme d’arborescence. Dans ces résultats, vous pouvez voir que nous avons trouvé des références à Microsoft.AspNetCore.Mvc, version 1.0.1, la version vulnérable.

La première entrée sous le titre Références fait référence au framework cible que votre application utilise. Ce sera . NETCoreApp, . NETStandard ou . NET-Framework-vX.Y.Z (où X.Y.Z est un numéro de version réel) selon la façon dont vous avez configuré votre application. Dans votre framework cible, vous trouverez la liste des packages dont vous avez directement pris la dépendance. Dans cet exemple, l’application prend une dépendance sur Microsoft.AspNetCore.Mvc. Microsoft.AspNetCore.Mvc a à son tour des nœuds feuilles qui répertorient ses dépendances et leurs versions. Dans ce cas, le package Microsoft.AspNetCore.Mvc dépend d’une version vulnérable de Microsoft.AspNetCore.Mvc.Core et de nombreux autres packages.

Révision manuelle des project.lock.json (project.json/VS2015)

Ouvrez le fichier project.lock.json dans votre éditeur. Nous vous suggérons d’utiliser un éditeur qui comprend json et vous permet de réduire et développer des nœuds pour passer en revue ce fichier ; Visual Studio et Visual Studio Code fournissent cette fonctionnalité.

Si vous utilisez Visual Studio, le fichier project.lock.json est « sous » le fichier project.json. Cliquez sur le triangle pointant vers le droite, <, à gauche du fichier project.json pour développer l’arborescence de solutions pour exposer le fichier project.lock.json. La figure 1 ci-dessous montre un projet avec le fichier project.json développé pour afficher le fichier project.lock.json.

Figure 2 : emplacement du fichier project.lock.json

Recherchez dans le fichier project.lock.json la chaîne « Microsoft.AspNetCore.Mvc.Core/1.1.0 ». Si votre fichier project.lock.json inclut cette chaîne, vous avez une dépendance sur le package vulnérable.

Correction des dépendances transitives (project.json/VS2015)

Si vous n’avez trouvé aucune référence à des packages vulnérables, cela signifie qu’aucune de vos dépendances directes ne dépend des packages vulnérables ou que vous avez déjà résolu le problème en mettant à jour les dépendances directes.

Si votre révision de dépendance transitive a trouvé des références à l’un des packages vulnérables, vous devez ajouter une dépendance directe au package mis à jour à votre fichier project.json pour remplacer la dépendance transitive. Ouvrez votre project.json et recherchez la section dépendances. Par exemple :


      "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
        "Microsoft.AspNetCore.Mvc": "1.1.0"
      }

Pour chacun des packages vulnérables retournés, vous devez ajouter une dépendance directe à la version mise à jour en l’ajoutant au fichier project.json. Pour ce faire, ajoutez une nouvelle ligne à la section dépendances, en faisant référence à la version fixe. Par exemple, si votre recherche a montré une référence transitive à la version 4.0.0 de System.Net.Security vulnérable, vous ajoutez une référence à la version fixe appropriée, 4.0.1. Modifiez le fichier project.json comme suit :


      "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "System.Net.Security": "4.0.1",
        "Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
        "Microsoft.AspNetCore.Mvc": "1.1.1"
      }

Une fois que vous avez ajouté des dépendances directes aux packages fixes, enregistrez votre fichier project.json.

Si vous utilisez Visual Studio, enregistrez votre fichier project.json mis à jour et Visual Studio restaure les nouvelles versions du package. Vous pouvez voir les résultats de la restauration en ouvrant la fenêtre sortie (Ctrl+Alt+O) et en modifiant la sortie Afficher la sortie de la liste déroulante en Gestionnaire de package.

Si vous n’utilisez pas Visual Studio, ouvrez une ligne de commande et passez au répertoire de votre projet. Exécutez la commande dotnet restore pour restaurer vos nouvelles dépendances.

Utilisation de Visual Studio Explorateur de solutions (VS2017)

Si vous souhaitez utiliser Explorateur de solutions, ouvrez votre projet dans Visual Studio 2017, puis appuyez sur Ctrl+ ; pour activer la recherche dans Explorateur de solutions. Recherchez chacun des noms de package vulnérables et notez les numéros de version des résultats que vous trouvez.

Par exemple, la recherche de Microsoft.AspNetCore.Mvc.Core dans un exemple de projet qui contient un package qui prend une dépendance sur Microsoft.AspNetCore.Mvc montre les résultats suivants dans Visual Studio 2017.

Figure 3 : Recherche de références dans Visual Studio 2017

Les résultats de la recherche apparaissent sous forme d’arborescence. Dans ces résultats, nous avons trouvé des références à Microsoft.AspNetCore.Mvc.Core version 1.1.2.

Sous le nœud Dépendances, il s’agit d’un nœud NuGet. Sous le nœud NuGet, il s’agit de la liste des packages que vous avez directement pris une dépendance et de leurs versions. Dans cet exemple, l’application prend une dépendance directe sur Microsoft.AspNetCore.Mvc. Microsoft.AspNetCore.Mvc a à son tour des nœuds feuilles qui répertorient ses dépendances et leurs versions. Dans l’exemple, le package Microsoft.AspNetCore.Mvc prend une dépendance sur une version de Microsoft.AspNetCore.Mvc.ApiExplorer qui, à son tour, prend une dépendance sur une version vulnérable de Microsoft.AspNetCore.Mvc.Core.

Révision manuelle des project.assets.json (VS2017)

Ouvrez le fichier project.assets.json à partir du répertoire obj de votre projet dans votre éditeur. Nous vous suggérons d’utiliser un éditeur qui comprend json et vous permet de réduire et développer des nœuds pour passer en revue ce fichier ; Visual Studio et Visual Studio Code fournissent cette fonctionnalité.

Recherchez le fichier project.assets.json pour chacun des noms de package dans la table des packages vulnérables, suivi d’un /. Par exemple, la recherche de Microsoft.AspNetCore.Mvc implique l’utilisation d’une chaîne de recherche « Microsoft.AspNetCore.Mvc/ ». Si votre fichier project.assets.json inclut cette chaîne et que le numéro de version complet (le numéro après les accès à la recherche) correspond à l’une des versions vulnérables répertoriées précédemment, vous avez une dépendance sur le package vulnérable.

Correction des dépendances transitives (csproj/VS2017)

Si vous n’avez trouvé aucune référence à des packages vulnérables, cela signifie qu’aucune de vos dépendances directes ne dépend des packages vulnérables ou que vous avez déjà résolu le problème en mettant à jour les dépendances directes.

Si votre révision de dépendance transitive a trouvé des références à l’un des packages vulnérables, vous devez ajouter une dépendance directe au package mis à jour à votre fichier csproj pour remplacer la dépendance transitive. Ouvrez votre fichier projectname.csproj dans votre éditeur, ou cliquez avec le bouton droit sur le projet dans Visual Studio 2017, puis choisissez Modifier projectname.csproj dans le menu de contenu, où nom_projet est le nom de votre projet. Recherchez des nœuds PackageReference, par exemple :


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>
</project>

Pour chacun des packages vulnérables retournés, vous devez ajouter une dépendance directe à la version mise à jour en l’ajoutant au fichier csproj. Pour ce faire, ajoutez une nouvelle ligne à la section dépendances, en faisant référence à la version fixe. Par exemple, si votre recherche a montré une référence transitive à la version 4.3.0 de System.Net.Security vulnérable, vous ajoutez une référence à la version fixe appropriée, 4.3.1.


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="System.Net.Security" version="4.3.1">
</packagereference><packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>

Une fois que vous avez ajouté la référence de dépendance directe, enregistrez votre fichier csproj.

Si vous utilisez Visual Studio, enregistrez votre fichier csproj mis à jour et Visual Studio restaure les nouvelles versions du package. Vous pouvez voir les résultats de la restauration en ouvrant la fenêtre sortie (Ctrl+Alt+O) et en modifiant la sortie Afficher la sortie de la liste déroulante en Gestionnaire de package.

Si vous n’utilisez pas Visual Studio, ouvrez une ligne de commande et passez au répertoire de votre projet. Exécutez la commande dotnet restore pour restaurer vos nouvelles dépendances.

Reconstruction de votre application

Enfin, régénérez votre application, testez comme vous le feriez normalement et redéployez à l’aide de votre mécanisme de déploiement privilégié.

Autres informations

Signaler des problèmes de sécurité

  • Si vous avez trouvé un problème de sécurité potentiel dans .NET Core, veuillez envoyer des détails à . Les rapports peuvent être éligibles pour le bounty de bogue .NET Core. Les détails de la prime de bogue .NET Core, y compris les conditions générales, sont à l’adresse https :.

Programme Microsoft Active Protections (MAPP)

Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Vous pouvez poser des questions sur ce problème sur GitHub dans les organisations .NET Core ou ASP.NET Core. Celles-ci se trouvent à l’adresse </https :>https : et </https :>https :. Le dépôt Annonces pour chaque produit (https://github.com/dotnet/Announcements et https://github.com/aspnet/Announcements) contiendra cet avis en tant que problème et inclura un lien vers un problème de discussion où vous pouvez poser des questions.
  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international. * Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Remerciements

Microsoft remercie ce qui suit pour nous aider à protéger les clients :

  • David Fernandez de Sidertia Solutions pour signaler la vulnérabilité de déni de service principal ASP.NET (CVE-2017-0247)
  • Mikhaïl Shcherbakov pour signaler la vulnérabilité d’usurpation d’identité de base ASP.NET (CVE-2017-0256)

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (9 mai 2017) : avis publié.
  • V1.1 (10 mai 2017) : avis révisé pour inclure une table des cves de problème et leurs descriptions. Il s’agit d’une modification d’information uniquement.

Page générée 2017-05-10 13 :08-07 :00. </https :>