3月10日,微软发布安全公告,通报.NET架构组件System.Text.Encodings.Web远程执行漏洞。NET5.0、.NETCore3.1和.NETCore2.1受到影响。由于执行文本编码的方式,.NET5和.NETCore中存在远程代码执行漏洞。缓解措施Microsoft尚未确定此漏洞的任何缓解因素。影响范围受此漏洞影响的包为System.Text.Encodings.Web。升级软件包并重新部署应用程序以解决问题。当前对应的安全版本为4.5.1、4.7.7和5.0.1。任何基于.NET5、.NETCore或.NETFramework的应用程序,使用System.Text.Encodings.Web包发布。请注意,.NETCore3.0已停产,所有应用程序应更新至3.1。漏洞检测可以根据列出版本的当前使用版本、运行时或SDK,与上面列出的受影响版本范围进行比较,来检测漏洞。通过cmd运行dotnet--info命令列出安装的版本命令,命令输出类似如下信息。.NETSDK(反映任何global.json):版本:5.0.201Commit:a09bd5c86cRuntimeEnvironment:OSName:WindowsOSVersion:10.0.18362OSPlatform:WindowsRID:win10-x64BasePath:C:\ProgramFiles\dotnet\sdk\5.0.201\Host(对支持有用):版本:5.0.4提交:f27d337295.NETSDKs安装:5.0.201[C:\ProgramFiles\dotnet\sdk].NETruntimes安装:Microsoft.AspNetCore.App5.0.4[C:\App]Microsoft.NETCore.App5.0.4[C:\ProgramFiles\dotnet\shared\Microsoft.NETCore.App]Microsoft.WindowsDesktop.App5.0.4[C:\ProgramFiles\dotnet\shared\Microsoft.WindowsDesktop.App]漏洞解决方案要解决此问题,您需要安装最新版本的.NET5.0、.NETCore3.1或.NETCore2.1。如果VisualStudio中安装了一个或多个.NETCoreSDK,VS会提示更新VisualStudio并自动更新.NETCoreSDK。对于.NET5.0,请下载并安装Runtime5.0.4或SDK5.0.104(适用于VisualStudio2019v16.8)。对于.NETCore3.1,您应该下载并安装Runtime3.1.13或SDK3.1.113(适用于VisualStudio2019v16.4)或3.1.406(适用于VisualStudio2019v16.5或更高版本)。NETCore2.1,则应下载并安装Runtime2.1.26或SDK2.1.522(适用于VisualStudio2019v15.9)或2.1.814。MicrosoftUpdate还提供.NET5.0、.NETCore3.1和.NETCore2.1更新。要访问此文件,请在Windows搜索中键入“检查更新”,或打开“设置”,选择“更新和安全”,然后单击“检查更新”。安装更新的运行时或SDK后,重启应用程序使更新生效。对于部署的独立应用程序,这些应用程序也容易受到攻击,必须针对任何受影响的版本重新编译和重新部署。
