Microsoft.AspNetCore DoS漏洞,如何解决.Net Framework项目

问题描述 投票:0回答:1

我有一个针对.Net Framework 4.6的.Net Web API项目,在此项目中,我具有Microsoft.AspNetCore 2.2.0.0 DLL。

我已经阅读到Microsoft.AspNetCore 2.2.0.0 DLL具有DoS(拒绝服务)安全漏洞。

https://github.com/aspnet/AspNetCore/issues/6488

[当我查看建议的分辨率时,它说要升级到2.7版,现在的问题是我无法升级到2.7,因为我可以升级的.Net Framework的最高版本是2.2.0.0。

查询:

  1. 此安全漏洞仅适用于通过定位创建的应用.Net Core,而不是.Net Framework,即使Microsoft.AspNetCore使用的是2.2.0.0库?

  2. 如果首先为真,那么这是否意味着我不必为此安全漏洞做任何事情?如果不是,那我应该怎么做才能克服这个安全问题(假设我无法在.Net Framework项目中将Microsoft.AspNetCore升级到2.7)?

asp.net
1个回答
0
投票

我们所有的安全公告均包括描述如何检测您是否受到影响以及如何进行更新的部分。链接的问题在“咨询常见问题”中有介绍。在这种情况下,您需要安装Windows Hosting Bundle的最新版本。 即使使用的是.NET Framework,也是如此。该特定漏洞位于IIS的ASP.NET Core模块中,该模块是允许您在IIS中托管ASP.NET Core应用程序(在.NET Core和.NET Framework上)的本机组件。如果安装主机捆绑包,则应保护所有ASP.NET Core应用程序(包括那些针对.NET Framework的应用程序)免受此问题的影响。常见问题解答还包括有关如何验证您是否安装了正确版本的说明(使用PowerShell脚本检查aspnetcore.dll文件的版本号)

对于软件包:我们不会针对每个补丁程序版本更新每个软件包。仅受影响的软件包被更新。 Microsoft.AspNetCore程序包根本没有打过补丁,因此仍然位于2.2.0。其他软件包,例如Microsoft.AspNetCore.Mvc.RazorPages,也有一些补丁,因此它们的版本是2.2.5。您应始终确保以Microsoft.AspNetCore开头的所有软件包都安装了最新的补丁程序版本(版本号的第三个组件),以获取所有必要的安全更新。

© www.soinside.com 2019 - 2024. All rights reserved.