Советы по безопасности Майкрософт 4021279

  • Статья

Уязвимости в .NET Core, ASP.NET Core может разрешить повышение привилегий

Опубликовано: 9 мая 2017 г. | Обновлено: 10 мая 2017 г.

Версия: 1.1

Краткий обзор

Корпорация Майкрософт выпускает эти рекомендации по обеспечению безопасности для предоставления сведений об уязвимостях в общедоступной версии .NET Core и ASP.NET Core. Он также включает указания для разработчиков по корректному обновлению их приложений.

.NET Core и ASP.NET Core — это следующее поколение .NET, которое предоставляет знакомую и современную платформу для веб-сценариев и облачных сценариев. Эти продукты активно разрабатываются командой .NET и ASP.NET в сотрудничестве с сообществом разработчиков открытый код, работающих в Windows, Mac OS X и Linux. Когда был выпущен .NET Core, номер версии был сброшен на 1.0.0, чтобы отразить тот факт, что он является отдельным продуктом от своего предшественника -.NET.

Выдача cves и описание

CVE Description
CVE-2017-0247 Отказ в обслуживании
CVE-2017-0248 Обход компонентов безопасности
CVE-2017-0249 Несанкционированное получение привилегий
CVE-2017-0256 Спуфинг

Затронутого программного обеспечения

Уязвимости влияют на любой проект Microsoft .NET Core, если он использует следующие затронутые версии пакетов.

Затронутый пакет и версия
Имя пакета Версии пакетов Исправлены версии пакетов
System.Text.Encodings.Web 4.0.0 4.3.0 4.0.1 4.3.1
System.Net.Http 4.1.1 4.3.1 4.1.2 4.3.2
System.Net.Http.WinHttpHandler 4.0.1 4.3.0 4.0.2 4.3.1
System.Net.Security 4.0.0 4.3.0 4.0.1 4.3.1
System.Net.WebSockets.Client 4.0.0 4.3.0 4.0.1 4.3.1
Microsoft.AspNetCore.Mvc 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Core 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Abstractions 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.ApiExplorer 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Cors 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.DataAnnotations 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Formatters.Json 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Formatters.Xml 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Localization 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Razor.Host 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Razor 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.TagHelpers 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.ViewFeatures 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.WebApiCompatShim 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3

Вопросы и ответы о рекомендациях

Разделы справки знать, затронут ли я?
.NET Core и ASP.NET Core имеют два типа зависимостей: прямые и транзитивные. Если проект имеет прямую или транзитивную зависимость от любого из пакетов и версий, перечисленных ранее, затронуты.

Примечание.

В рамках исправления ASP.NET Core MVC мы обновляем каждый пакет Microsoft.AspNetCore.Mvc.* . Например, если у вас есть зависимость от Microsoft.AspNetCore.Mvc, необходимо сначала обновить соответствующую версию (1.0.x следует обновить до версии 1.0.4, 1.1.x должна быть обновлена до версии 1.1.3), а также обновится любая другая уязвимая зависимость Microsoft.AspNetCore.Mvc.

Форматы проектов .NET Core

.NET Core имеет два разных формата файлов проекта в зависимости от того, какое программное обеспечение создало проект.

  1. project.json — это исходный формат, включенный в .NET Core 1.0 и Microsoft Visual Studio 2015.
  2. csproj — это формат, используемый в Microsoft Visual Studio 2017.

Необходимо убедиться, что вы следуйте правильным инструкциям по обновлению для типа проекта.

Прямые зависимости

Прямые зависимости — это зависимости , в которых вы специально добавляете пакет в проект. Например, если вы добавите пакет Microsoft.AspNetCore.Mvc в проект, вы получили прямую зависимость от Microsoft.AspNetCore.Mvc.

Прямые зависимости можно обнаружить, просмотрив project.json или csproj-файл.

Транзитивные зависимости

Транзитивные зависимости возникают при добавлении пакета в проект, который, в свою очередь, зависит от другого пакета. Например, если добавить пакет Microsoft.AspNetCore.Mvc в проект, он зависит от пакета Microsoft.AspNetCore.Mvc.Core (среди прочего). Проект имеет прямую зависимость от пакета Microsoft.AspNetCore.Mvc и транзитивной зависимости от пакета Microsoft.AspNetCore.Mvc.Core.

Транзитивные зависимости можно просматривать в окне Обозреватель решений Visual Studio, которое поддерживает поиск или просмотр файла project.lock.json, содержащегося в корневом каталоге проекта для проектов project.json или файла project.assets.json, содержащегося в каталоге obj проекта для проектов csproj. Эти файлы являются авторитетным списком всех пакетов, используемых проектом, в которых содержатся как прямые, так и транзитивные зависимости.

Разделы справки исправить затронутое приложение?

Вам потребуется исправить как прямые зависимости, так и проверить и исправить все транзитивные зависимости. Затронутые пакеты и версии в предыдущем разделе "Затронутое программное обеспечение" включают каждый уязвимый пакет, уязвимые версии и исправленные версии.

Если в проектах используется ASP.NET Core MVC, сначала следует обновить версию Microsoft.AspNetCore.Mvc в соответствии с таблицей предыдущих затронутых версий. Если вы используете версию 1.0.0, 1.0.1, 1.0.2 или 1.0.3, следует обновить версию пакета до версии 1.0.4. Если вы используете версию 1.1.0, 1.1.1 или 1.1.2, следует обновить версию пакета до версии 1.1.3. Это приведет к обновлению каждого пакета MVC до фиксированных версий.

Исправление прямых зависимостей — project.json/VS2015

Откройте файл project.json в редакторе. Найдите раздел зависимостей. Ниже приведен пример раздела зависимостей:

    "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
        "Microsoft.AspNetCore.Mvc ": "1.0.1",
         
      }

В этом примере есть три прямых зависимостей: Microsoft.NETCore.App, Microsoft.AspNetCore.Server.Kestrel и Microsoft.AspNetCore.Mvc.

Microsoft.NetCore.App — это платформа, предназначенная для приложений, следует игнорировать эту платформу. Другие пакеты предоставляют свою версию справа от имени пакета. В нашем примере наши пакеты, отличные от платформы, являются версия 1.0.1.

Просмотрите прямые зависимости для любого экземпляра пакетов и версий, перечисленных ранее. В предыдущем примере существует прямая зависимость от одного из уязвимых пакетов Microsoft.AspNetCore.Mvc версии 1.0.1.

Чтобы обновить фиксированный пакет, измените номер версии, чтобы он был соответствующим пакетом для выпуска. В примере это будет обновление Microsoft.AspNetCore.Mvc до версии 1.0.4.

После обновления уязвимых версий пакетов сохраните файл project.json.

Раздел зависимостей в нашем примере project.json теперь будет выглядеть следующим образом:

      "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
        "Microsoft.AspNetCore.Mvc": "1.0.4",
          
      }

Если вы используете Visual Studio и сохраните обновленный файл project.json, Visual Studio восстановит новую версию пакета. Результаты восстановления можно просмотреть, открыв окно вывода (CTRL+ALT+O) и изменив выходные данные из раскрывающегося списка на диспетчер пакетов.

Если вы не используете Visual Studio, откройте командную строку и перейдите в каталог проекта. Выполните команду dotnet restore, чтобы восстановить новую зависимость.

После решения всех прямых зависимостей необходимо также просмотреть транзитивные зависимости.

Исправление прямых зависимостей — csproj/VS2017

Откройте файл projectname.csproj в редакторе или щелкните правой кнопкой мыши проект в Visual Studio 2017 и выберите "Изменить имя проекта.csproj" в меню содержимого, гдеимя проекта — имя проекта. Найдите узлы PackageReference. Ниже показан пример файла проекта:


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.2">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>

В примере есть две прямые зависимости пакета, как показано в двух элементах PackageReference. Имя пакета находится в атрибуте Include, а номер версии пакета находится в атрибуте Version, который предоставляется справа от имени пакета. В примере показаны два пакета Microsoft.AspNetCore версии 1.1.1 и Microsoft.AspNetCore.Mvc.Core версии 1.1.2.

Просмотрите элементы PackageReference для любого экземпляра пакетов и версий, перечисленных ранее. В предыдущем примере существует прямая зависимость от одного из уязвимых пакетов Microsoft.AspNetCore.Mvc версии 1.1.2.

Чтобы обновить фиксированный пакет, измените номер версии на соответствующий пакет для выпуска. В примере это будет обновление Microsoft.AspNetCore.Mvc до версии 1.1.3.

После обновления уязвимой версии пакета сохраните csproj-файл.

Пример csproj теперь выглядит следующим образом:


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc.Core" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>

Если вы используете Visual Studio и сохраните обновленный csproj-файл, Visual Studio восстановит новую версию пакета. Результаты восстановления можно просмотреть, открыв окно вывода (CTRL+ALT+O) и изменив выходные данные из раскрывающегося списка на диспетчер пакетов.

Если вы не используете Visual Studio, откройте командную строку и перейдите в каталог проекта. Выполните команду dotnet restore, чтобы восстановить новую зависимость.

Перекомпилируйте приложение.

Если после повторной компиляции появится предупреждение о конфликте зависимостей, необходимо обновить другие прямые зависимости до соответствующей версии. Например, если проект ссылается на Microsoft.AspNetCore.Routing с номером версии 1.0.1 при обновлении пакета Microsoft.AspNetCore.Mvc до версии 1.0.4, компиляция вызовет следующее:

Конфликт зависимостей NU1012. Microsoft.AspNetCore.Mvc.Core 1.0.4 ожидал Microsoft.AspNetCore.Routing >= 1.0.4, но получил 1.0.1

Чтобы устранить эту проблему, измените версию ожидаемого пакета, обновив csproj или project.json таким же образом, как и для обновления уязвимых версий пакетов.

После решения всех прямых зависимостей необходимо также просмотреть транзитивные зависимости.

Просмотр транзитивных зависимостей

Существует два способа просмотра транзитивных зависимостей. Вы можете использовать Обозреватель решений Visual Studio или просмотреть файл project.lock.json (project.json/VS2015) или project.assets.json (csproj/VS2017).

Использование Visual Studio Обозреватель решений (VS2015)

Если вы хотите использовать Visual Studio 2015, откройте проект в Visual Studio 2015 и нажмите клавиши CTRL+; для активации поиска в Обозреватель решений. Выполните поиск по каждому из уязвимых имен пакетов и запишите номера версий всех результатов, которые вы найдете.

Например, поиск Microsoft.AspNetCore.Mvc.Core в примере проекта, содержащего ссылку на Microsoft.AspNetCore.Mvc, показывает следующие результаты в Visual Studio 2015.

Рис. 1. Поиск ссылок в Visual Studio 2015

Результаты поиска отображаются как дерево. В этих результатах мы обнаружили ссылки на Microsoft.AspNetCore.Mvc версии 1.0.1, уязвимую версию.

Первая запись в заголовке "Ссылки" ссылается на целевую платформу, используемую приложением. Это будет. NETCoreApp, . NETStandard или . NET-Framework-vX.Y.Z (где X.Y.Z является фактическим номером версии) в зависимости от того, как настроено приложение. В целевой платформе будет список пакетов, от которых вы непосредственно взяли зависимость. В этом примере приложение принимает зависимость от Microsoft.AspNetCore.Mvc. Microsoft.AspNetCore.Mvc, в свою очередь, имеет конечные узлы, которые перечисляют свои зависимости и их версии. В этом случае пакет Microsoft.AspNetCore.Mvc зависит от уязвимой версии Microsoft.AspNetCore.Mvc.Core и многочисленных других пакетов.

Проверка project.lock.json вручную (project.json/VS2015)

Откройте файл project.lock.json в редакторе. Мы рекомендуем использовать редактор, который понимает json и позволяет свернуть и развернуть узлы для просмотра этого файла; Visual Studio и Visual Studio Code предоставляют эту функцию.

Если вы используете Visual Studio, project.lock.json файл находится под файлом project.json. Щелкните правый треугольник , ▷, слева от файла project.json, чтобы развернуть дерево решения, чтобы предоставить файл project.lock.json. На рисунке 1 ниже показан проект с расширением project.json файла, чтобы отобразить файл project.lock.json.

Рис. 2. Расположение файла project.lock.json

Выполните поиск в файле project.lock.json строки "Microsoft.AspNetCore.Mvc.Core/1.1.0". Если файл project.lock.json включает эту строку, у вас есть зависимость от уязвимого пакета.

Исправление транзитивных зависимостей (project.json/VS2015)

Если вы не нашли ссылку на какие-либо уязвимые пакеты, это означает, что ни одна из прямых зависимостей не зависит от уязвимых пакетов или вы уже исправили проблему, обновив прямые зависимости.

Если проверка транзитной зависимости обнаружила ссылки на любой из уязвимых пакетов, необходимо добавить прямую зависимость в обновленный пакет в файл project.json, чтобы переопределить транзитивную зависимость. Откройте project.json и найдите раздел зависимостей. Например:


      "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
        "Microsoft.AspNetCore.Mvc": "1.1.0"
      }

Для каждого из уязвимых пакетов, возвращенных поиском, необходимо добавить прямую зависимость в обновленную версию, добавив ее в файл project.json. Для этого добавьте новую строку в раздел зависимостей, указав фиксированную версию. Например, если поиск показал транзитивную ссылку на уязвимую версию System.Net.Security версии 4.0.0, вы добавите ссылку на соответствующую фиксированную версию 4.0.1. Измените файл project.json следующим образом:


      "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "System.Net.Security": "4.0.1",
        "Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
        "Microsoft.AspNetCore.Mvc": "1.1.1"
      }

После добавления прямых зависимостей в фиксированные пакеты сохраните файл project.json.

Если вы используете Visual Studio, сохраните обновленный файл project.json и Visual Studio восстановит новые версии пакетов. Результаты восстановления можно просмотреть, открыв окно вывода (CTRL+ALT+O) и изменив выходные данные из раскрывающегося списка на диспетчер пакетов.

Если вы не используете Visual Studio, откройте командную строку и перейдите в каталог проекта. Выполните команду dotnet restore, чтобы восстановить новые зависимости.

Использование Visual Studio Обозреватель решений (VS2017)

Если вы хотите использовать Обозреватель решений, откройте проект в Visual Studio 2017 и нажмите клавиши CTRL+; для активации поиска в Обозреватель решений. Выполните поиск по каждому из уязвимых имен пакетов и запишите номера версий всех результатов, которые вы найдете.

Например, поиск Microsoft.AspNetCore.Mvc.Core в примере проекта, содержащего пакет, который принимает зависимость от Microsoft.AspNetCore.Mvc, показывает следующие результаты в Visual Studio 2017.

Рис. 3. Поиск ссылок в Visual Studio 2017

Результаты поиска отображаются как дерево. В этих результатах мы обнаружили ссылки на Microsoft.AspNetCore.Mvc.Core версии 1.1.2.

Под узлом зависимостей будет узел NuGet. В узле NuGet будет список пакетов, от которых вы непосредственно взяли зависимость и их версии. В этом примере приложение принимает прямую зависимость от Microsoft.AspNetCore.Mvc. Microsoft.AspNetCore.Mvc, в свою очередь, имеет конечные узлы, которые перечисляют свои зависимости и их версии. В примере пакета Microsoft.AspNetCore.Mvc зависит от версии Microsoft.AspNetCore.Mvc.Api Обозреватель которая, в свою очередь, зависит от уязвимой версии Microsoft.AspNetCore.Mvc.Core.

Просмотр project.assets.json вручную (VS2017)

Откройте файл project.assets.json из каталога obj проекта в редакторе. Мы рекомендуем использовать редактор, который понимает json и позволяет свернуть и развернуть узлы для просмотра этого файла; Visual Studio и Visual Studio Code предоставляют эту функцию.

Выполните поиск по файлу project.assets.json для каждого из имен пакетов в таблице уязвимых пакетов, за которым следует значение /. Например, поиск Microsoft.AspNetCore.Mvc будет влечет за собой использование строки поиска Microsoft.AspNetCore.Mvc/. Если файл project.assets.json включает эту строку, а полный номер версии (число после попаданий в поиске) соответствует одной из уязвимых версий, перечисленных ранее, у вас есть зависимость от уязвимого пакета.

Исправление транзитивных зависимостей (csproj/VS2017)

Если вы не нашли ссылку на какие-либо уязвимые пакеты, это означает, что ни одна из прямых зависимостей не зависит от уязвимых пакетов или вы уже исправили проблему, обновив прямые зависимости.

Если проверка транзитной зависимости обнаружила ссылки на любой из уязвимых пакетов, необходимо добавить прямую зависимость в обновленный пакет в csproj-файл, чтобы переопределить транзитивную зависимость. Откройте файл projectname.csproj в редакторе или щелкните проект правой кнопкой мыши в Visual Studio 2017 и выберите "Изменить имя проекта.csproj" в меню содержимого, где имя проекта — имя проекта. Найдите узлы PackageReference, например:


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>
</project>

Для каждого из уязвимых пакетов, возвращенных поиском, необходимо добавить прямую зависимость в обновленную версию, добавив ее в csproj-файл. Для этого добавьте новую строку в раздел зависимостей, указав фиксированную версию. Например, если поиск показал транзитивную ссылку на уязвимую версию System.Net.Security версии 4.3.0, вы добавите ссылку на соответствующую фиксированную версию 4.3.1.


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="System.Net.Security" version="4.3.1">
</packagereference><packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>

После добавления ссылки на прямую зависимость сохраните csproj-файл.

Если вы используете Visual Studio, сохраните обновленный csproj-файл и Visual Studio восстановит новые версии пакета. Результаты восстановления можно просмотреть, открыв окно вывода (CTRL+ALT+O) и изменив выходные данные из раскрывающегося списка на диспетчер пакетов.

Если вы не используете Visual Studio, откройте командную строку и перейдите в каталог проекта. Выполните команду dotnet restore, чтобы восстановить новые зависимости.

Перестроение приложения

Наконец, перестройте приложение, протестируйте, как обычно и повторно развертываете с помощью выбранного механизма развертывания.

Другие сведения

Сообщение о проблемах с безопасностью

  • Если в .NET Core обнаружена потенциальная проблема с безопасностью, укажите сведения по электронной почте. Отчеты могут претендовать на bounty ошибки .NET Core. Подробные сведения об ошибке .NET Core, включая условия, доступны по адресу https:.

Программа Microsoft Active Protections (MAPP)

Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программах Microsoft Active Protections Program (MAPP).

Feedback

  • Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.

Поддержка

  • Вы можете задать вопросы об этой проблеме на сайте GitHub в .NET Core или ASP.NET основных организациях. Они расположены в папке </https:https: и </https:>https:>.. Репозиторий объявлений для каждого продукта (https://github.com/dotnet/Announcements и https://github.com/aspnet/Announcements) будет содержать эти рекомендации в качестве проблемы и будет включать ссылку на вопрос обсуждения, где можно задавать вопросы.
  • Клиенты в США и Канаде могут получать техническую поддержку от поддержки безопасности. Дополнительные сведения см. в справке и поддержке Майкрософт.
  • Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения см. в статье "Международная поддержка". * Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.

Благодарности

Корпорация Майкрософт благодарит нас за то, что мы работаем над защитой клиентов:

  • Дэвид Фернандес из Sidertia Solutions для отчетности об уязвимости ASP.NET Основной отказ в обслуживании (CVE-2017-0247)
  • Михаил Шербаков за сообщение об уязвимости ASP.NET Core Spoofing (CVE-2017-0256)

Заявление об отказе

Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Редакции

  • Версия 1.0 (9 мая 2017 г.): рекомендации, опубликованные.
  • Версия 1.1 (10 мая 2017 г.): рекомендации были изменены, чтобы включить таблицу вопросов CVEs и их описания. Это только информационное изменение.

Страница создана 2017-05-10 13:08-07:00. </https:>