Microsoft Security Advisory 4021279
Säkerhetsrisker i .NET Core, ASP.NET Core kan tillåta utökade privilegier
Publicerad: 9 maj 2017 | Uppdaterad: 10 maj 2017
Version: 1.1
Sammanfattning
Microsoft släpper den här säkerhetsrekommendationen för att tillhandahålla information om sårbarheter i offentliga .NET Core och ASP.NET Core. Den här rådgivningen ger också vägledning om vad utvecklare kan göra för att uppdatera sina program korrekt.
.NET Core & ASP.NET Core är nästa generation av .NET som tillhandahåller ett välbekant och modernt ramverk för webb- och molnscenarier. Dessa produkter utvecklas aktivt av .NET- och ASP.NET-teamet i samarbete med en community med öppen källkod utvecklare som körs i Windows, Mac OS X och Linux. När .NET Core släpptes återställdes versionsnumret till 1.0.0 för att återspegla det faktum att det är en separat produkt från föregångaren -.NET.
Utfärda CVE:er och beskrivning
| CVE | Beskrivning |
|---|---|
| CVE-2017-0247 | Denial of Service |
| CVE-2017-0248 | Förbikoppling av säkerhetsfunktion |
| CVE-2017-0249 | Höjning av privilegier |
| CVE-2017-0256 | Förfalskning |
Programvara som påverkas
Säkerhetsriskerna påverkar alla Microsoft .NET Core-projekt om de använder följande berörda paketversioner.
| Berört paket och version | ||
|---|---|---|
| Paketnamn | Paketversioner | Paketversioner har åtgärdats |
| System.Text.Encodings.Web | 4.0.0 4.3.0 | 4.0.1 4.3.1 |
| System.Net.Http | 4.1.1 4.3.1 | 4.1.2 4.3.2 |
| System.Net.Http.WinHttpHandler | 4.0.1 4.3.0 | 4.0.2 4.3.1 |
| System.Net.Security | 4.0.0 4.3.0 | 4.0.1 4.3.1 |
| System.Net.WebSockets.Client | 4.0.0 4.3.0 | 4.0.1 4.3.1 |
| Microsoft.AspNetCore.Mvc | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Core | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Abstractions | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.ApiExplorer | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Cors | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.DataAnnotations | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Formatters.Json | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Formatters.Xml | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Localization | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Razor.Host | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Razor | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.TagHelpers | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.ViewFeatures | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.WebApiCompatShim | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
Vanliga frågor och svar om rådgivning
Hur gör jag för att vet om jag påverkas?
.NET Core och ASP.NET Core har två typer av beroenden: direkt och transitiv. Om projektet har ett direkt eller transitivt beroende av något av de paket och versioner som anges tidigare påverkas du.
Kommentar
Som en del av korrigeringen ASP.NET Core MVC uppdaterar vi varje Microsoft.AspNetCore.Mvc.* -paket. Om du till exempel har ett beroende av Microsoft.AspNetCore.Mvc bör du uppdatera till rätt version först (1.0.x bör uppdateras till 1.0.4, 1.1.x bör uppdateras till 1.1.3), och det uppdaterar även andra sårbara Microsoft.AspNetCore.Mvc-beroenden.
.NET Core Project-format
.NET Core har två olika projektfilformat, beroende på vilken programvara som skapade projektet.
- project.json är det ursprungliga formatet som ingår i .NET Core 1.0 och Microsoft Visual Studio 2015.
- csproj är det format som används i Microsoft Visual Studio 2017.
Du måste se till att du följer rätt uppdateringsinstruktioner för projekttypen.
Direkta beroenden
Direkta beroenden är beroenden där du specifikt lägger till ett paket i projektet. Om du till exempel lägger till Microsoft.AspNetCore.Mvc-paketet i projektet har du varit direkt beroende av Microsoft.AspNetCore.Mvc.
Direkta beroenden kan identifieras genom att granska filen project.json eller csproj.
Transitiva beroenden
Transitiva beroenden uppstår när du lägger till ett paket i projektet som i sin tur förlitar sig på ett annat paket. Om du till exempel lägger till Microsoft.AspNetCore.Mvc-paketet i projektet beror det på microsoft.AspNetCore.Mvc.Core-paketet (bland annat). Projektet har ett direkt beroende av Microsoft.AspNetCore.Mvc och ett transitivt beroende av paketet Microsoft.AspNetCore.Mvc.Core.
Transitiva beroenden kan granskas i fönstret Visual Studio Solution Explorer, som stöder sökning, eller genom att granska den project.lock.json fil som finns i rotkatalogen i projektet för project.json projekt eller den project.assets.json filen som finns i obj-katalogen för ditt projekt för csproj-projekt. Dessa filer är den auktoritativa listan över alla paket som används av projektet, som innehåller både direkta och transitiva beroenden.
Hur gör jag för att åtgärda mitt berörda program?
Du måste åtgärda både direkta beroenden och granska och åtgärda eventuella transitiva beroenden. De berörda paketen och versionerna i föregående avsnitt "Påverkad programvara" innehåller varje sårbart paket, de sårbara versionerna och de korrigerade versionerna.
Om du använder ASP.NET Core MVC i dina projekt bör du först uppdatera Microsoft.AspNetCore.Mvc-versionen enligt tabellen med tidigare berörda versioner. Om du använder version 1.0.0, 1.0.1, 1.0.2 eller 1.0.3 bör du uppdatera paketversionen till 1.0.4. Om du använder version 1.1.0, 1.1.1 eller 1.1.2 bör du uppdatera paketversionen till 1.1.3. Detta uppdaterar varje MVC-paket till de fasta versionerna.
Åtgärda direkta beroenden – project.json/VS2015
Öppna filen project.json i redigeringsprogrammet. Leta efter avsnittet beroenden. Nedan visas ett exempel på beroenden:
"dependencies": {
"Microsoft.NETCore.App": {
"version": "1.0.1",
"type": "platform"
},
"Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
"Microsoft.AspNetCore.Mvc ": "1.0.1",
}
Det här exemplet har tre direkta beroenden: Microsoft.NETCore.App, Microsoft.AspNetCore.Server.Kestrel och Microsoft.AspNetCore.Mvc.
Microsoft.NetCore.App är plattformen som programmet riktar in sig på bör du ignorera detta. De andra paketen exponerar sin version till höger om paketnamnet. I vårt exempel är våra icke-plattformspaket version 1.0.1.
Granska dina direkta beroenden för alla instanser av paketen och versionerna som angavs tidigare. I föregående exempel finns det ett direkt beroende av ett av de sårbara paketen, Microsoft.AspNetCore.Mvc version 1.0.1.
Om du vill uppdatera till det fasta paketet ändrar du versionsnumret så att det är lämpligt paket för din version. I exemplet skulle detta vara att uppdatera Microsoft.AspNetCore.Mvc till 1.0.4.
När du har uppdaterat de sårbara paketversionerna sparar du din project.json-fil.
Avsnittet beroenden i vårt exempel project.json nu skulle se ut så här:
"dependencies": {
"Microsoft.NETCore.App": {
"version": "1.0.1",
"type": "platform"
},
"Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
"Microsoft.AspNetCore.Mvc": "1.0.4",
}
Om du använder Visual Studio och sparar den uppdaterade project.json filen återställer Visual Studio den nya paketversionen. Du kan se återställningsresultatet genom att öppna utdatafönstret (Ctrl+Alt+O) och ändra listrutan Visa utdata från till Package Manager.
Om du inte använder Visual Studio öppnar du en kommandorad och ändrar till projektkatalogen. Kör kommandot dotnet restore för att återställa ditt nya beroende.
När du har åtgärdat alla dina direkta beroenden måste du också granska dina transitiva beroenden.
Åtgärda direkta beroenden – csproj/VS2017
Öppna filen projectname.csproj i redigeringsprogrammet eller högerklicka på projektet i Visual Studio 2017 och välj Redigera projektnamn.csproj på innehållsmenyn, där projektnamnet är namnet på projektet. Leta efter PackageReference-noder. Följande visar en exempelprojektfil:
<project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.2">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>
Exemplet har två direktpaketberoenden, enligt de två PackageReference-elementen. Namnet på paketet finns i attributet Inkludera och paketversionsnumret finns i versionsattributet som exponeras till höger om paketnamnet. Exemplet visar två paket Microsoft.AspNetCore version 1.1.1 och Microsoft.AspNetCore.Mvc.Core version 1.1.2.
Granska packagereference-elementen för alla instanser av paketen och versionerna som angavs tidigare. I föregående exempel finns det ett direkt beroende av ett av de sårbara paketen, Microsoft.AspNetCore.Mvc version 1.1.2.
Om du vill uppdatera till det fasta paketet ändrar du versionsnumret till lämpligt paket för din version. I exemplet skulle detta vara att uppdatera Microsoft.AspNetCore.Mvc till 1.1.3.
När du har uppdaterat den sårbara paketversionen sparar du csproj-filen.
Exemplet csproj skulle nu se ut så här:
<project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc.Core" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>
Om du använder Visual Studio och sparar den uppdaterade csproj-filen återställer Visual Studio den nya paketversionen. Du kan se återställningsresultatet genom att öppna utdatafönstret (Ctrl+Alt+O) och ändra listrutan Visa utdata från till Package Manager.
Om du inte använder Visual Studio öppnar du en kommandorad och ändrar till projektkatalogen. Kör kommandot dotnet restore för att återställa ditt nya beroende.
Kompilera om programmet.
Om du efter omkompileringen ser en varning om beroendekonflikt måste du uppdatera dina andra direkta beroenden till rätt version. Om projektet till exempel refererar till Microsoft.AspNetCore.Routing med versionsnumret 1.0.1 när du uppdaterar ditt Microsoft.AspNetCore.Mvc-paket till 1.0.4, genererar kompileringen:
NU1012 Beroendekonflikt. Microsoft.AspNetCore.Mvc.Core 1.0.4 förväntade Microsoft.AspNetCore.Routing >= 1.0.4 men fick 1.0.1
Åtgärda detta genom att redigera versionen för det förväntade paketet så att den är den version som förväntas genom att uppdatera din csproj eller project.json på samma sätt som du använde för att uppdatera de sårbara paketversionerna.
När du har åtgärdat alla dina direkta beroenden måste du också granska dina transitiva beroenden.
Granska transitiva beroenden
Det finns två sätt att visa transitiva beroenden. Du kan antingen använda Solution Explorer i Visual Studio eller granska filen project.lock.json (project.json/VS2015) eller project.assets.json (csproj/VS2017).
Använda Visual Studio Solution Explorer (VS2015)
Om du vill använda Visual Studio 2015 öppnar du projektet i Visual Studio 2015 och trycker sedan på Ctrl+; för att aktivera sökningen i Solution Explorer. Sök efter vart och ett av de sårbara paketnamnen och anteckna versionsnumren för eventuella resultat som du hittar.
Om du till exempel söker efter Microsoft.AspNetCore.Mvc.Core i ett exempelprojekt som innehåller en referens till Microsoft.AspNetCore.Mvc visas följande resultat i Visual Studio 2015.
.png)
Bild 1: Söka efter referenser i Visual Studio 2015
Sökresultaten visas som ett träd. I dessa resultat kan du se att vi har hittat referenser till Microsoft.AspNetCore.Mvc, version 1.0.1, den sårbara versionen.
Den första posten under rubriken Referenser refererar till målramverket som ditt program använder. Det här blir . NETCoreApp, . NETStandard eller . NET-Framework-vX.Y.Z (där X.Y.Z är ett faktiskt versionsnummer) beroende på hur du konfigurerade programmet. Under ditt målramverk finns listan över paket som du direkt har varit beroende av. I det här exemplet är programmet beroende av Microsoft.AspNetCore.Mvc. Microsoft.AspNetCore.Mvc har i sin tur lövnoder som listar dess beroenden och deras versioner. I det här fallet är Microsoft.AspNetCore.Mvc-paketet beroende av en sårbar version av Microsoft.AspNetCore.Mvc.Core och flera andra paket.
Granska project.lock.json manuellt (project.json/VS2015)
Öppna filen project.lock.json i redigeringsprogrammet. Vi föreslår att du använder en redigerare som förstår json och gör att du kan komprimera och expandera noder för att granska den här filen. Både Visual Studio och Visual Studio Code tillhandahåller den här funktionen.
Om du använder Visual Studio är project.lock.json filen "under" filen project.json. Klicka på den högra triangeln, ▷, till vänster om project.json-filen för att expandera lösningsträdet för att exponera project.lock.json-filen. Bild 1 nedan visar ett projekt med filen project.json expanderad för att visa filen project.lock.json.
.png)
Bild 2: project.lock.json filplats
Sök i filen project.lock.json efter strängen "Microsoft.AspNetCore.Mvc.Core/1.1.0". Om din project.lock.json-fil innehåller den här strängen har du ett beroende av det sårbara paketet.
Åtgärda transitiva beroenden (project.json/VS2015)
Om du inte har hittat någon referens till några sårbara paket innebär det att inget av dina direkta beroenden är beroende av några sårbara paket eller att du redan har åtgärdat problemet genom att uppdatera de direkta beroendena.
Om den transitiva beroendegranskningen hittade referenser till något av de sårbara paketen måste du lägga till ett direkt beroende till det uppdaterade paketet i din project.json-fil för att åsidosätta det transitiva beroendet. Öppna din project.json och leta reda på avsnittet beroenden. Till exempel:
"dependencies": {
"Microsoft.NETCore.App": {
"version": "1.0.1",
"type": "platform"
},
"Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
"Microsoft.AspNetCore.Mvc": "1.1.0"
}
För vart och ett av de sårbara paket som sökningen returnerade måste du lägga till ett direkt beroende till den uppdaterade versionen genom att lägga till det i project.json-filen. Det gör du genom att lägga till en ny rad i avsnittet beroenden med hänvisning till den fasta versionen. Om sökningen till exempel visar en transitiv referens till den sårbara System.Net.Security version 4.0.0 lägger du till en referens till lämplig fast version, 4.0.1. Redigera project.json-filen på följande sätt:
"dependencies": {
"Microsoft.NETCore.App": {
"version": "1.0.1",
"type": "platform"
},
"System.Net.Security": "4.0.1",
"Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
"Microsoft.AspNetCore.Mvc": "1.1.1"
}
När du har lagt till direkta beroenden till de fasta paketen sparar du filen project.json.
Om du använder Visual Studio sparar du den uppdaterade project.json filen så återställer Visual Studio de nya paketversionerna. Du kan se återställningsresultatet genom att öppna utdatafönstret (Ctrl+Alt+O) och ändra listrutan Visa utdata från till Package Manager.
Om du inte använder Visual Studio öppnar du en kommandorad och ändrar till projektkatalogen. Kör kommandot dotnet restore för att återställa dina nya beroenden.
Använda Visual Studio Solution Explorer (VS2017)
Om du vill använda Solution Explorer öppnar du projektet i Visual Studio 2017 och trycker sedan på Ctrl+; för att aktivera sökningen i Solution Explorer. Sök efter vart och ett av de sårbara paketnamnen och anteckna versionsnumren för eventuella resultat som du hittar.
Om du till exempel söker efter Microsoft.AspNetCore.Mvc.Core i ett exempelprojekt som innehåller ett paket som är beroende av Microsoft.AspNetCore.Mvc visas följande resultat i Visual Studio 2017.
.png)
Bild 3: Söka efter referenser i Visual Studio 2017
Sökresultaten visas som ett träd. I dessa resultat kan du se att vi har hittat referenser till Microsoft.AspNetCore.Mvc.Core version 1.1.2.
Under noden Beroenden finns en NuGet-nod. Under NuGet-noden visas listan över paket som du direkt har varit beroende av och deras versioner. I det här exemplet är programmet direkt beroende av Microsoft.AspNetCore.Mvc. Microsoft.AspNetCore.Mvc har i sin tur lövnoder som listar dess beroenden och deras versioner. I exemplet tar Microsoft.AspNetCore.Mvc-paketet ett beroende av en version av Microsoft.AspNetCore.Mvc.ApiExplorer som i sin tur är beroende av en sårbar version av Microsoft.AspNetCore.Mvc.Core.
Granska project.assets.json manuellt (VS2017)
Öppna filen project.assets.json från projektets obj-katalog i redigeringsprogrammet. Vi föreslår att du använder en redigerare som förstår json och gör att du kan komprimera och expandera noder för att granska den här filen. Både Visual Studio och Visual Studio Code tillhandahåller den här funktionen.
Sök i project.assets.json-filen efter vart och ett av paketnamnen i tabellen sårbara paket, följt av en /. Om du till exempel letar efter Microsoft.AspNetCore.Mvc skulle det innebära att du använder en söksträng med "Microsoft.AspNetCore.Mvc/". Om din project.assets.json-fil innehåller den här strängen, och det fullständiga versionsnumret (talet efter /i alla sökträffar) matchar en av de sårbara versioner som angavs tidigare, har du ett beroende av det sårbara paketet.
Åtgärda transitiva beroenden (csproj/VS2017)
Om du inte har hittat någon referens till några sårbara paket innebär det att inget av dina direkta beroenden är beroende av några sårbara paket eller att du redan har åtgärdat problemet genom att uppdatera de direkta beroendena.
Om din transitiva beroendegranskning hittade referenser till något av de sårbara paketen måste du lägga till ett direkt beroende till det uppdaterade paketet i csproj-filen för att åsidosätta det transitiva beroendet. Öppna filen projectname.csproj i redigeringsprogrammet eller högerklicka på projektet i Visual Studio 2017 och välj Redigera projectname.csproj på innehållsmenyn, där projektnamnet är namnet på projektet. Leta efter PackageReference-noder, till exempel:
<project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>
</project>
För vart och ett av de sårbara paket som sökningen returnerade måste du lägga till ett direkt beroende till den uppdaterade versionen genom att lägga till det i csproj-filen. Det gör du genom att lägga till en ny rad i avsnittet beroenden med hänvisning till den fasta versionen. Om din sökning till exempel visar en transitiv referens till den sårbara System.Net.Security version 4.3.0 lägger du till en referens till lämplig fast version, 4.3.1.
<project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="System.Net.Security" version="4.3.1">
</packagereference><packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>
När du har lagt till referensen för direkt beroende sparar du csproj-filen.
Om du använder Visual Studio sparar du den uppdaterade csproj-filen så återställer Visual Studio de nya paketversionerna. Du kan se återställningsresultatet genom att öppna utdatafönstret (Ctrl+Alt+O) och ändra listrutan Visa utdata från till Package Manager.
Om du inte använder Visual Studio öppnar du en kommandorad och ändrar till projektkatalogen. Kör kommandot dotnet restore för att återställa dina nya beroenden.
Återskapa ditt program
Återskapa slutligen ditt program, testa som vanligt och distribuera om med hjälp av din favoritdistributionsmekanism.
Övrig information
Rapportering av säkerhetsproblem
- Om du har hittat ett potentiellt säkerhetsproblem i .NET Core kan du skicka information via e-post till . Rapporter kan kvalificera sig för .NET Core Bug Bounty. Information om .NET Core Bug Bounty inklusive villkor finns på https:.
Microsoft Active Protections Program (MAPP)
För att förbättra säkerhetsskyddet för kunder tillhandahåller Microsoft sårbarhetsinformation till stora leverantörer av säkerhetsprogram före varje månatlig version av säkerhetsuppdateringen. Säkerhetsprogramleverantörer kan sedan använda den här sårbarhetsinformationen för att ge kunderna uppdaterat skydd via deras säkerhetsprogram eller enheter, till exempel antivirusprogram, nätverksbaserade intrångsidentifieringssystem eller värdbaserade intrångsskyddssystem. Om du vill ta reda på om aktiva skydd är tillgängliga från leverantörer av säkerhetsprogram kan du besöka de aktiva skyddswebbplatser som tillhandahålls av programpartners, listade i Mapp-partner (Microsoft Active Protections Program).
Feedback
- Du kan ge feedback genom att fylla i microsofts hjälp- och supportformulär, kundtjänst kontakta oss.
Support
- Du kan ställa frågor om det här problemet på GitHub i .NET Core- eller ASP.NET Core-organisationer. Dessa finns på </https:>https: och </https:>https:. Lagringsplatsen Meddelanden för varje produkt (https://github.com/dotnet/Announcements och https://github.com/aspnet/Announcements) innehåller den här rekommendationen som ett problem och innehåller en länk till ett diskussionsproblem där du kan ställa frågor.
- Kunder i USA och Kanada kan få teknisk support från säkerhetssupporten. Mer information finns i Microsofts hjälp och support.
- Internationella kunder kan få support från sina lokala Microsoft-dotterbolag. Mer information finns i Internationell support. * Microsoft TechNet Security innehåller ytterligare information om säkerhet i Microsoft-produkter.
Tack
Microsoft tackar följande för att du samarbetar med oss för att skydda kunder:
- David Fernandez från Sidertia Solutions för rapportering av ASP.NET Core Denial of Service Vulnerability (CVE-2017-0247)
- Michail Shcherbakov för rapportering av ASP.NET Core Spoofing Vulnerability (CVE-2017-0256)
Friskrivning
Informationen som tillhandahålls i denna rekommendation tillhandahålls "som den är" utan garanti av något slag. Microsoft frånsäger sig alla garantier, antingen uttryckliga eller underförstådda, inklusive garantier för säljbarhet och lämplighet för ett visst syfte. Under inga omständigheter ska Microsoft Corporation eller dess leverantörer vara ansvariga för eventuella skador, inklusive direkta, indirekta, tillfälliga, följdskador, förlust av företagsvinster eller särskilda skador, även om Microsoft Corporation eller dess leverantörer har informerats om risken för sådana skador. Vissa stater tillåter inte undantag eller begränsning av ansvar för följdskador eller oförutsedda skador, så den föregående begränsningen kanske inte gäller.
Revideringar
- V1.0 (9 maj 2017): Rådgivning publicerad.
- V1.1 (10 maj 2017): Rekommendationen har reviderats för att inkludera en tabell med utfärdar-CVE:er och deras beskrivningar. Detta är endast en informationsändring.
Sidan genererades 2017-05-10 13:08-07:00. </https:>