当前位置: 首页 > news >正文

微软ASP.NET Core更新引入严重安全漏洞,开发者需重新构建应用程序

微软披露ASP.NET Core更新引入严重安全漏洞

微软披露,上周的ASP.NET Core更新意外地在该Web框架的数据保护库中引入了一个严重的安全漏洞,建议开发者检查自己的应用程序。微软将此问题描述为一次“回归”,这是编码术语,指的是更新破坏了原本正常工作的功能。在这种情况下,引入的是一个CVSS评分为9.1的关键漏洞,编号为CVE - 2026 - 40372,该漏洞影响通过NuGet包管理器分发的ASP.NET Core数据保护应用程序库。它会影响Linux、macOS和其他非Windows操作系统,以及开发者通过UseCustomCryptographicAlgorithms API明确选择使用托管算法的Windows系统。

漏洞详情及影响

4月14日“补丁星期二”更新中发布的.NET 10.0.6包存在一个漏洞,导致ManagedAuthenticatedEncryptor库在计算基于哈希的消息认证码(HMAC)的验证标签时使用了错误的偏移量。安全哈希计算错误会导致.AspNetCore应用程序的cookie和令牌在不应被验证和信任的情况下通过验证。微软在GitHub安全公告中表示:“在这些情况下,验证机制的失效可能会使攻击者伪造能够通过数据保护真实性检查的有效负载,并解密认证cookie、防伪令牌、临时数据、OIDC状态等之前受保护的有效负载。”当这些长效令牌嵌入应用程序中时,会赋予攻击者可乘之机。该公告指出:“如果攻击者在漏洞窗口期内使用伪造的有效负载以特权用户身份进行认证,他们可能会诱导应用程序向自己颁发合法签名的令牌(会话刷新、API密钥、密码重置链接等)。”

与历史漏洞对比

这一漏洞距离ASP.NET遭遇有史以来最严重的漏洞之一仅过去了六个月。去年10月,Kestrel Web服务器组件出现了CVSS评分为9.9的CVE - 2025 - 55315漏洞。令人担忧的是,当前的公告还将此问题与MS10 - 070相提并论。MS10 - 070是针对CVE - 2010 - 3332的紧急补丁,CVE - 2010 - 3332是Windows ASP.NET处理加密错误方式中的一个臭名昭著的零日漏洞,在2010年曾引发了一定程度的恐慌。

并非简单的更新

通常,发现漏洞后,只需应用更新、采取变通方法或缓解措施即可。在这种情况下,服务器版本的更新本应自动完成,将运行时更新到已修复的10.0.7版本。然而,对于使用流行的Docker容器平台的开发者来说,情况更为复杂。对于这些项目,数据保护库也嵌入在已构建的应用程序中。要解决这个问题,需要更新并重新构建4月14日更新后创建的所有ASP.NET Core应用程序。此外,那些在netstandard2.0或net462目标框架资产上使用10.0.x版本(来自有缺陷的NuGet包)以兼容包括Windows在内的旧操作系统的用户也会受到影响。

检测受影响的二进制文件

开发者如何知道是否加载了存在漏洞的二进制文件呢?微软的安全公告提供了以下建议:“检查应用程序日志。最明显的症状是,升级到10.0.6版本后,用户被注销,并且日志中反复出现‘有效负载无效’的错误。检查项目文件。在.csproj文件(或依赖于它的包)中查找对Microsoft.AspNetCore.DataProtection 10.0.6版本的PackageReference。你也可以运行dotnet list package命令查看已解析的包版本。”

应对建议

总之,开发者应重新构建受影响的应用程序以应用修复版本,使所有受影响的认证cookie和令牌过期以消除伪造内容,并轮换使用新的ASP.NET Core数据保护令牌。微软建议,虽然没有证据表明攻击者已经利用了这个问题,但从良好的安全习惯出发,也应该检查是否存在意外或异常的登录失败、错误或认证失败情况。

http://www.cnnetsun.cn/news/2059881.html

相关文章:

  • 横评13款维普降aigc率工具实测,降重鸟稳居榜首
  • 智慧树自动刷课插件:3分钟实现高效学习的终极解决方案
  • Unity基础:游戏对象的激活与隐藏:SetActive方法详解
  • GPT-image-2 上手首测!超越 Banana 的它,凭什么是地表最强 AI 画师?
  • 保姆级教学:用FLUX.1-dev在ComfyUI中生成照片级真实感图片
  • 2026考什么互联网行业证书可以增加收入
  • 从memcpy到for循环:手把手教你解决C++ vector二维数组的拷贝崩溃问题
  • GhostTrack -- IP/phone/username查询工具
  • 离散数学核心三剑客:命题逻辑、谓词逻辑与集合关系的实战精解
  • Qwen3-14B生产环境部署:120GB内存保障+输出路径自定义实操
  • StreamCap:告别错过的直播,用这款开源工具自动录制40+平台直播内容
  • 470型角驰压瓦机
  • 别被代理忽悠了!程序员写给程序员的专利技术交底书避坑指南
  • 别再死记硬背Ceph架构图了!从PG、Pool到CRUSH,用大白话讲清数据到底怎么存的
  • 8088单板机NMI定时中断刷新8255动态显示
  • SCons构建MDK工程翻车实录:从‘No module named building’到完美运行的踩坑全指南
  • 记录生活&学习Day15深度强化学习第十六集:Advantage Actor-Critic(A2C)
  • Weka机器学习实战:鸢尾花分类完整教程
  • NVIDIA开发者课程:GPU加速AI与数据科学实战指南
  • 从密码学博士到造芯悍将:白剑的17年硬核之路
  • Real Anime Z新手教程:5分钟完成加载→输入提示→生成首图全流程
  • Vue 3 + Socket.io 实时聊天项目完整开发文档
  • Phi-3.5-mini-instruct入门必看:网页封装+参数详解+中文场景调优指南
  • Flux2-Klein-9B-True-V2多场景落地:政府宣传海报/公益广告图生成实践
  • Zotero AI插件完整指南:5分钟打造你的智能文献助手
  • 别再手动配环境了!用CMake+VS2022一键搞定PCL点云库(附完整项目模板)
  • ISG Index™显示:人工智能需求提振,亚太地区科技服务市场第一季度实现两位数增长
  • Real-Anime-Z在软件测试中的应用:自动生成UI测试用例配图
  • 民俗文化特色乡村文旅设计案例:行业运营者借鉴方向解析
  • Hyperf 成熟方案的PHP数据清洗、ETL工具链最好的库