次の方法で共有


Microsoft セキュリティ アドバイザリ 4021279

.NET Core、ASP.NET Core の脆弱性により、特権が昇格される

公開日: 2017 年 5 月 9 日 |更新日: 2017 年 5 月 10 日

バージョン: 1.1

概要

Microsoft では、パブリック .NET Core と ASP.NET Core の脆弱性に関する情報を提供するために、このセキュリティ アドバイザリをリリースしています。 またこのアドバイザリでは、アプリケーションを正しく更新する上で開発者が実行する必要のある操作に関するガイダンスも提供します。

.NET Core と ASP.NET Core は、Web とクラウドのシナリオに使い慣れた最新のフレームワークを提供する次世代の .NET です。 これらの製品は、Windows、Mac OS X、Linux で実行されているオープンソース開発者のコミュニティと協力して、.NET および ASP.NET チームによって積極的に開発されています。 .NET Core がリリースされたとき、バージョン番号は 1.0.0 にリセットされ、先行製品 -.NET とは別の製品であるという事実が反映されました。

問題の CVE と説明

CVE 説明
CVE-2017-0247 サービス拒否
CVE-2017-0248 セキュリティ機能のバイパス
CVE-2017-0249 特権の昇格
CVE-2017-0256 なりすまし

影響を受けるソフトウェア

この脆弱性は、影響を受ける次のパッケージ バージョンを使用している場合、Microsoft .NET Core プロジェクトに影響します。

影響を受けるパッケージとバージョン
パッケージ名 パッケージのバージョン パッケージのバージョンを修正しました
System.Text.Encodings.Web 4.0.0 4.3.0 4.0.1 4.3.1
System.Net.Http 4.1.1 4.3.1 4.1.2 4.3.2
System.Net.Http.WinHttpHandler 4.0.1 4.3.0 4.0.2 4.3.1
System.Net.Security 4.0.0 4.3.0 4.0.1 4.3.1
System.Net.WebSockets.Client 4.0.0 4.3.0 4.0.1 4.3.1
Microsoft.AspNetCore.Mvc 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Core 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Abstractions 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.ApiExplorer 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Cors 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.DataAnnotations 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Formatters.Json 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Formatters.Xml 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Localization 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Razor.Host 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Razor 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.TagHelpers 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.ViewFeatures 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.WebApiCompatShim 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3

アドバイザリに関する FAQ

システム変更の影響を受けるかどうかを確認するには
.NET Core と ASP.NET Core には、直接的な依存関係と推移的な依存関係の 2 種類があります。 プロジェクトが、前述のパッケージとバージョンのいずれかに直接的または推移的な依存関係を持っている場合は、影響を受けます。

Note

Core MVC ASP.NET 修正プログラムの一環として、Microsoft.AspNetCore.Mvc.* パッケージをすべて更新します。 たとえば、Microsoft.AspNetCore.Mvc に依存している場合は、最初に適切なバージョンに更新する必要があります (1.0.x を 1.0.4 に更新し、1.1.x を 1.1.3 に更新する必要があります)、その他の脆弱な Microsoft.AspNetCore.Mvc 依存関係も更新されます。

.NET Core プロジェクトの形式

.NET Core には、プロジェクトを作成したソフトウェアに応じて、2 つの異なるプロジェクト ファイル形式があります。

  1. project.jsonは、.NET Core 1.0 と Microsoft Visual Studio 2015 に含まれる元の形式です。
  2. csproj は、Microsoft Visual Studio 2017 で使用される形式です。

プロジェクトの種類に応じて、正しい更新手順に従う必要があります。

直接依存関係

直接依存関係 は、プロジェクトにパッケージを具体的に追加する依存関係です。 たとえば、Microsoft.AspNetCore.Mvc パッケージをプロジェクトに追加すると、Microsoft.AspNetCore.Mvc に直接依存しています。

直接依存関係は、project.jsonまたは csproj ファイルを確認することで検出できます。

推移的な依存関係

推移的な依存関係 は、別のパッケージに依存するパッケージをプロジェクトに追加するときに発生します。 たとえば、Microsoft.AspNetCore.Mvc パッケージをプロジェクトに追加する場合は、Microsoft.AspNetCore.Mvc.Core パッケージ (特に) に依存します。 プロジェクトは Microsoft.AspNetCore.Mvc に直接依存しており、Microsoft.AspNetCore.Mvc.Core パッケージへの推移的な依存関係があります。

推移的な依存関係は、検索をサポートする Visual Studio ソリューション エクスプローラー ウィンドウで確認できます。または、プロジェクトのルート ディレクトリに含まれる project.lock.json ファイルをproject.json プロジェクト用に確認するか、csproj プロジェクトのプロジェクトの obj ディレクトリに含まれる project.assets.json ファイルを確認します。 これらのファイルは、直接依存関係と推移的依存関係の両方を含む、プロジェクトで使用されるすべてのパッケージの権限のある一覧です。

影響を受けるアプリケーション操作方法修正しますか?

直接の依存関係を修正し、推移的な依存関係を確認して修正する必要があります。 前の「影響を受けるソフトウェア」セクションの影響を受けるパッケージとバージョンには、各脆弱なパッケージ、脆弱なバージョン、パッチが適用されたバージョンが含まれます。

プロジェクトで ASP.NET Core MVC を使用している場合は、まず、影響を受けた以前のバージョンのテーブルに従って Microsoft.AspNetCore.Mvc のバージョンを更新する必要があります。 現在バージョン 1.0.0、1.0.1、1.0.2、または 1.0.3 を使用している場合は、パッケージバージョンを 1.0.4 に更新する必要があります。 バージョン 1.1.0、1.1.1、または 1.1.2 を使用している場合は、パッケージのバージョンを 1.1.3 に更新する必要があります。 これにより、すべての MVC パッケージが固定バージョンに更新されます。

直接依存関係の修正 - project.json/VS2015

エディターでproject.json ファイルを開きます。 依存関係セクションを探します。 依存関係セクションの例を次に示します。

    "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
        "Microsoft.AspNetCore.Mvc ": "1.0.1",
         
      }

この例には、Microsoft.NETCore.App、Microsoft.AspNetCore.Server.Kestrel、Microsoft.AspNetCore.Mvc の 3 つの直接的な依存関係があります。

アプリケーションがターゲットとするプラットフォーム Microsoft.NetCore.App は、これを無視する必要があります。 他のパッケージは、パッケージ名の右側にバージョンを公開します。 この例では、プラットフォーム以外のパッケージはバージョン 1.0.1 です。

前に示したパッケージとバージョンのインスタンスの直接の依存関係を確認します。 前の例では、脆弱なパッケージの 1 つである Microsoft.AspNetCore.Mvc バージョン 1.0.1 に直接依存しています。

固定パッケージに更新するには、バージョン番号をリリースに適したパッケージに変更します。 この例では、Microsoft.AspNetCore.Mvc を 1.0.4 に更新しています。

脆弱なパッケージのバージョンを更新した後、project.json ファイルを保存します。

この例のproject.jsonの dependencies セクションは次のようになります。

      "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
        "Microsoft.AspNetCore.Mvc": "1.0.4",
          
      }

Visual Studio を使用し、更新したproject.json ファイルを保存すると、Visual Studio によって新しいパッケージ バージョンが復元されます。 復元の結果を確認するには、出力ウィンドウ (Ctrl + Alt + O) を開き、[出力の表示] ドロップダウン リストから パッケージ マネージャー変更します。

Visual Studio を使用していない場合は、コマンド ラインを開き、プロジェクト ディレクトリに移動します。 dotnet restore コマンドを実行して、新しい依存関係を復元します。

すべての直接依存関係に対処したら、推移的な依存関係も確認する必要があります。

直接依存関係の修正 - csproj/VS2017

エディターで projectname.csproj ファイルを開くか、Visual Studio 2017 でプロジェクトを右クリックし、コンテンツ メニューから projectname.csproj の編集 (projectname はプロジェクトの名前) を選択します。 PackageReference ノードを探します。 プロジェクト ファイルの例を次に示します。


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.2">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>

この例には、2 つの PackageReference 要素からわかるように、2 つの直接パッケージ依存関係があります。 パッケージの名前は Include 属性にあり、パッケージのバージョン番号はパッケージ名の右側に公開されている Version 属性にあります。 この例では、Microsoft.AspNetCore バージョン 1.1.1 と Microsoft.AspNetCore.Mvc.Core バージョン 1.1.2 の 2 つのパッケージを示しています。

PackageReference 要素で、前述のパッケージとバージョンの任意のインスタンスを確認します。 前の例では、脆弱なパッケージの 1 つである Microsoft.AspNetCore.Mvc バージョン 1.1.2 に直接依存しています。

固定パッケージに更新するには、バージョン番号をリリースに適したパッケージに変更します。 この例では、Microsoft.AspNetCore.Mvc を 1.1.3 に更新します。

脆弱なパッケージ バージョンを更新した後、csproj ファイルを保存します。

csproj の例は次のようになります。


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc.Core" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>

Visual Studio を使用し、更新した csproj ファイルを保存すると、Visual Studio によって新しいパッケージ バージョンが復元されます。 復元の結果を確認するには、出力ウィンドウ (Ctrl + Alt + O) を開き、[出力の表示] ドロップダウン リストから パッケージ マネージャー変更します。

Visual Studio を使用していない場合は、コマンド ラインを開き、プロジェクト ディレクトリに移動します。 dotnet restore コマンドを実行して、新しい依存関係を復元します。

アプリケーションを再コンパイルします。

再コンパイル後に依存関係の競合の警告が表示される場合は、他の直接依存関係を適切なバージョンに更新する必要があります。 たとえば、Microsoft.AspNetCore.Mvc パッケージを 1.0.4 に更新するときに、バージョン番号が 1.0.1 の Microsoft.AspNetCore.Routing がプロジェクトで参照されている場合、コンパイルでは次がスローされます。

NU1012 依存関係の競合。 Microsoft.AspNetCore.Mvc.Core 1.0.4 では、Microsoft.AspNetCore.Routing >= 1.0.4 が必要ですが、1.0.1 を受け取りました

これを修正するには、csproj または project.json を、脆弱なパッケージ バージョンの更新に使用したのと同じ方法で更新することで、予想されるパッケージのバージョンを予想されるバージョンに編集します。

すべての直接依存関係に対処したら、推移的な依存関係も確認する必要があります。

推移的な依存関係の確認

推移的な依存関係を表示するには、2 つの方法があります。 Visual Studio のソリューション エクスプローラーを使用するか、project.lock.json (project.json/VS2015) またはproject.assets.json (csproj/VS2017) ファイルを確認できます。

Visual Studio ソリューション エクスプローラー の使用 (VS2015)

Visual Studio 2015 を使用する場合は、Visual Studio 2015 でプロジェクトを開き、Ctrl キーを押しながらキーを押します。をクリックして、ソリューション エクスプローラーで検索をアクティブにします。 脆弱な各パッケージ名を検索し、見つけた結果のバージョン番号をメモします。

たとえば、Microsoft.AspNetCore.Mvc への参照を含むサンプル プロジェクトで Microsoft.AspNetCore.Mvc.Core を検索すると、Visual Studio 2015 で次の結果が表示されます。

図 1: Visual Studio 2015 での参照の検索

検索結果はツリーとして表示されます。 これらの結果から、Microsoft.AspNetCore.Mvc バージョン 1.0.1 (脆弱なバージョン) への参照が見つかったことがわかります。

[参照] 見出しの下の最初のエントリは、アプリケーションが使用しているターゲット フレームワークを参照します。 これは次のようになります。NETCoreApp, .NETStandard または .アプリケーションの構成方法に応じて、NET-Framework-vX.Y.Z (X.Y.Z は実際のバージョン番号)。 ターゲット フレームワークの下には、依存関係を直接取得したパッケージの一覧が表示されます。 この例では、アプリケーションは Microsoft.AspNetCore.Mvc に依存します。 Microsoft.AspNetCore.Mvc には、依存関係とそのバージョンを一覧表示するリーフ ノードがあります。 この場合、Microsoft.AspNetCore.Mvc パッケージは、脆弱なバージョンの Microsoft.AspNetCore.Mvc.Core およびその他の多数のパッケージに依存します。

project.lock.jsonを手動で確認する (project.json/VS2015)

エディターでproject.lock.json ファイルを開きます。 json を理解し、ノードを折りたたんで展開してこのファイルを確認できるエディターを使用することをお勧めします。この機能は、Visual Studio と Visual Studio Code の両方で提供されます。

Visual Studio を使用している場合、project.lock.json ファイルはproject.json ファイルの下にあります。 project.json ファイルの左側にある右向き三角形 ▷をクリックしてソリューション ツリーを展開し、project.lock.json ファイルを公開します。 次の図 1 は、project.lock.json ファイルを表示するために展開されたproject.json ファイルを含むプロジェクトを示しています。

図 2: project.lock.json ファイルの場所

project.lock.json ファイルで文字列 "Microsoft.AspNetCore.Mvc.Core/1.1.0" を検索します。 project.lock.json ファイルにこの文字列が含まれている場合は、脆弱なパッケージに依存します。

推移的な依存関係の修正 (project.json/VS2015)

脆弱なパッケージへの参照が見つからない場合は、直接的な依存関係が脆弱なパッケージに依存していないか、直接依存関係を更新して問題を既に修正済みであることが意味されます。

推移的な依存関係レビューで脆弱なパッケージへの参照が見つかった場合は、推移的な依存関係をオーバーライドするために、更新されたパッケージに直接依存関係をproject.json ファイルに追加する必要があります。 project.jsonを開き、依存関係セクションを見つけます。 次に例を示します。


      "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
        "Microsoft.AspNetCore.Mvc": "1.1.0"
      }

検索で返された脆弱なパッケージごとに、project.json ファイルに追加して、更新されたバージョンに直接依存関係を追加する必要があります。 これを行うには、固定バージョンを参照して、依存関係セクションに新しい行を追加します。 たとえば、検索で脆弱な System.Net.Security バージョン 4.0.0 への推移的な参照が表示された場合は、適切な固定バージョン 4.0.1 への参照を追加します。 project.json ファイルを次のように編集します。


      "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "System.Net.Security": "4.0.1",
        "Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
        "Microsoft.AspNetCore.Mvc": "1.1.1"
      }

固定パッケージに直接依存関係を追加したら、project.json ファイルを保存します。

Visual Studio を使用している場合は、更新されたproject.json ファイルを保存し、Visual Studio によって新しいパッケージ バージョンが復元されます。 復元の結果を確認するには、出力ウィンドウ (Ctrl + Alt + O) を開き、[出力の表示] ドロップダウン リストから パッケージ マネージャー変更します。

Visual Studio を使用していない場合は、コマンド ラインを開き、プロジェクト ディレクトリに移動します。 dotnet restore コマンドを実行して、新しい依存関係を復元します。

Visual Studio ソリューション エクスプローラー の使用 (VS2017)

ソリューション エクスプローラーを使用する場合は、Visual Studio 2017 でプロジェクトを開き、Ctrl キーを押しながらキーを押して、ソリューション エクスプローラーで検索をアクティブにします。 脆弱な各パッケージ名を検索し、見つけた結果のバージョン番号をメモします。

たとえば、Microsoft.AspNetCore.Mvc に依存するパッケージを含むサンプル プロジェクトで Microsoft.AspNetCore.Mvc.Core を検索すると、Visual Studio 2017 で次の結果が表示されます。

図 3: Visual Studio 2017 での参照の検索

検索結果はツリーとして表示されます。 これらの結果から、Microsoft.AspNetCore.Mvc.Core バージョン 1.1.2 への参照が見つかったことがわかります。

[依存関係] ノードの下には NuGet ノードがあります。 NuGet ノードの下には、依存関係を直接取得したパッケージとそのバージョンの一覧が表示されます。 この例では、アプリケーションは Microsoft.AspNetCore.Mvc に直接依存します。 Microsoft.AspNetCore.Mvc には、依存関係とそのバージョンを一覧表示するリーフ ノードがあります。 この例では、Microsoft.AspNetCore.Mvc パッケージは Microsoft.AspNetCore.Mvc.Api のバージョンに依存しますエクスプローラー Microsoft.AspNetCore.Mvc.Core の脆弱なバージョンに依存します。

project.assets.jsonを手動で確認する (VS2017)

エディターでプロジェクトの obj ディレクトリからproject.assets.json ファイルを開きます。 json を理解し、ノードを折りたたんで展開してこのファイルを確認できるエディターを使用することをお勧めします。この機能は、Visual Studio と Visual Studio Code の両方で提供されます。

project.assets.json ファイルで、脆弱なパッケージ テーブル内の各パッケージ名を検索し、その後に /を検索します。 たとえば、Microsoft.AspNetCore.Mvc を探す場合は、検索文字列 "Microsoft.AspNetCore.Mvc/" を使用する必要があります。 project.assets.json ファイルにこの文字列が含まれており、完全なバージョン番号 (検索ヒット数の後の番号) が、前に示した脆弱なバージョンのいずれかと一致する場合は、脆弱なパッケージに依存します。

推移的な依存関係の修正 (csproj/VS2017)

脆弱なパッケージへの参照が見つからない場合は、直接的な依存関係が脆弱なパッケージに依存していないか、直接依存関係を更新して問題を既に修正済みであることが意味されます。

推移的な依存関係レビューで脆弱なパッケージへの参照が見つかった場合は、更新されたパッケージに直接依存関係を csproj ファイルに追加して、推移的な依存関係をオーバーライドする必要があります。 エディターで projectname.csproj ファイルを開くか、Visual Studio 2017 でプロジェクトを右クリックし、コンテンツ メニューから [プロジェクト名の編集] を選択します。projectname はプロジェクトの名前です。 PackageReference ノードを探します。次に例を示します。


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>
</project>

検索で返された脆弱なパッケージごとに、csproj ファイルに追加することで、更新されたバージョンに直接依存関係を追加する必要があります。 これを行うには、固定バージョンを参照して、依存関係セクションに新しい行を追加します。 たとえば、検索で脆弱な System.Net.Security バージョン 4.3.0 への推移的な参照が表示された場合は、適切な固定バージョン 4.3.1 への参照を追加します。


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="System.Net.Security" version="4.3.1">
</packagereference><packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>

直接依存関係参照を追加したら、csproj ファイルを保存します。

Visual Studio を使用している場合は、更新した csproj ファイルを保存すると、Visual Studio によって新しいパッケージ のバージョンが復元されます。 復元の結果を確認するには、出力ウィンドウ (Ctrl + Alt + O) を開き、[出力の表示] ドロップダウン リストから パッケージ マネージャー変更します。

Visual Studio を使用していない場合は、コマンド ラインを開き、プロジェクト ディレクトリに移動します。 dotnet restore コマンドを実行して、新しい依存関係を復元します。

アプリケーションのリビルド

最後に、アプリケーションをリビルドし、通常どおりにテストし、好みのデプロイ メカニズムを使用して再デプロイします。

その他の情報

セキュリティの問題の報告

  • .NET Core で潜在的なセキュリティの問題が見つかった場合は、詳細を電子メールで送信してください。 レポートは .NET Core バグ 報奨金の対象となる場合があります。 使用条件を含む .NET Core バグ報奨金の詳細については、https:参照してください。

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。

フィードバック

  • Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

サポート

  • この問題に関する質問は、.NET Core または ASP.NET Core 組織の GitHub で確認できます。 これらは /https:https: と </https:https:> にあります<。> 各製品 (https://github.com/dotnet/Announcements および https://github.com/aspnet/Announcements) のアナウンス リポジトリには、このアドバイザリが問題として含まれており、質問できるディスカッションの問題へのリンクが含まれます。
  • 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
  • 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。 * Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

謝辞

Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン

  • V1.0 (2017 年 5 月 9 日): アドバイザリが公開されました。
  • V1.1 (2017 年 5 月 10 日): アドバイザリが改訂され、問題の CVE とその説明の表が含まれるようになりました。 これは情報の変更のみです。

Page generated 2017-05-10 13:08-07:00. </https:>