3月10日微軟發(fā)布安全公告，通報(bào)了.NET架構(gòu)組件System.Text.Encodings.Web遠(yuǎn)程執(zhí)行漏洞。影響范圍包括NET 5.0，.NET Core 3.1和.NET Core 2.1。

由于執(zhí)行文本編碼的方式，.NET 5和.NET Core中存在一個遠(yuǎn)程執(zhí)行代碼漏洞。

[[386833]]

緩解方法

Microsoft尚未發(fā)現(xiàn)此漏洞的任何緩解因素。

影響范圍

該漏洞影響的程序包是System.Text.Encodings.Web。升級軟件包并重新部署應(yīng)用程序，以解決問題。 目前對應(yīng)的安全版本為4.5.1,4.7.7和5.0.1。

基于.NET 5，.NET Core或.NET Framework，使用System.Text.Encodings.Web程序包發(fā)布的人任何的應(yīng)用程序。

注意，.NET Core 3.0已停止支持，所有應(yīng)用程序都應(yīng)更新為3.1。

漏洞檢測

漏洞可以根據(jù)當(dāng)前使用的版本來檢測，列出的版本的運(yùn)行時或SDK，對比上面列出的受影響的版本范圍。通過cmd運(yùn)行dotnet --info命令列出已安裝的版本命令,命令輸出類似以下信息。

.NET SDK (反映任何 global.json): 
Version: 5.0.201 
Commit: a09bd5c86c 
運(yùn)行時環(huán)境: 
OS Name: Windows 
OS Version: 10.0.18362 
OS Platform: Windows 
RID: win10-x64 
Base Path: C:\Program Files\dotnet\sdk\5.0.201\ 
Host (useful for support): 
Version: 5.0.4 
Commit: f27d337295 
.NET SDKs installed: 
5.0.201 [C:\Program Files\dotnet\sdk] 
.NET runtimes installed: 
Microsoft.AspNetCore.App 5.0.4 [C:\Program Files\dotnet\shared\Microsoft.AspNetCore.App] 
Microsoft.NETCore.App 5.0.4 [C:\Program Files\dotnet\shared\Microsoft.NETCore.App] 
Microsoft.WindowsDesktop.App 5.0.4 [C:\Program Files\dotnet\shared\Microsoft.WindowsDesktop.App] 

漏洞解決

要解決此問題，需要安裝的.NET 5.0，.NET Core 3.1或.NET Core 2.1的最新版本。如果Visual Studio中安裝了一個或多個.NET Core SDK，VS會提示更新Visual Studio，還會自動更新.NET Core SDK。

• 對于.NET 5.0，請下載并安裝Runtime 5.0.4或SDK 5.0.104(適用于Visual Studio 2019 v16.8) 。
• 對.NET Core 3.1，則應(yīng)下載并安裝Runtime 3.1.13或SDK 3.1.113(適用于Visual Studio 2019 v16.4)或3.1.406(適用于Visual Studio 2019 v16.5或更高版本)
• 對.NET Core 2.1，則應(yīng)下載并安裝Runtime 2.1.26或SDK 2.1.522(適用于Visual Studio 2019 v15.9)或2.1.814。

Microsoft Update也提供.NET 5.0，.NET Core 3.1和.NET Core 2.1更新。要訪問此文件，請?jiān)赪indows搜索中鍵入“檢查更新”，或打開“設(shè)置”，選擇“更新和安全性”，然后單擊“檢查更新”。

安裝更新的運(yùn)行時或SDK后，請重新啟動應(yīng)用程序以使更新生效。

對于已部署的獨(dú)立的應(yīng)用程序，針對任何受影響的版本 ，則這些應(yīng)用程序也容易受到攻擊,必須重新編譯和重新部署。