Mises à jour de .NET Core de juillet 2020 - 2.1.20 et 3.1.6

La mise à jour NET Core de juillet a été publiée la semaine dernière. Il contient des correctifs de sécurité et des améliorations de fiabilité. Consultez les notes de version individuelles pour plus de détails sur les packages mis à jour. Cet article résume les améliorations de sécurité collectivement.

sécurité

Vulnérabilité CVE-2020-1147: Vulnérabilité d'exécution de code à distance .NET Core



Microsoft publie cet avis de sécurité pour fournir des informations sur la vulnérabilité .NET Core. Ce guide fournit également des conseils sur ce que les développeurs peuvent faire pour mettre à jour leurs applications afin de remédier à cette vulnérabilité.



Microsoft a connaissance d'une vulnérabilité d'exécution de code à distance dans le logiciel .NET où le logiciel ne peut pas valider le balisage d'origine d'un fichier XML. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de l'utilisateur actuel.



Un attaquant distant non authentifié pourrait exploiter cette vulnérabilité en envoyant des requêtes spécialement conçues à une application ASP.NET Core ou à une autre application qui analyse certains types de XML.



La mise à jour de sécurité corrige la vulnérabilité en limitant les types qui peuvent être présents dans une charge utile XML.

Obtenir la mise à jour

• .NET Core 3.1.6 et .NET Core SDK (  Téléchargement  |  Notes de version  )
• .NET Core 2.1.20 et .NET Core SDK (  Téléchargement  |  Notes de version  )

Consultez les notes de publication de .NET Core pour plus de détails sur la version, y compris les correctifs et les problèmes soulevés.



Les dernières mises à jour de .NET Core sont disponibles sur la page de téléchargement de .NET Core.

Images Docker

Les images .NET Docker ont également été mises à jour. Les référentiels suivants ont été mis à jour:

• dotnet / core / sdk : SDK .NET Core
• dotnet / core / aspnet : ASP.NET Core Runtime
• dotnet / core / runtime : .NET Core Runtime
• dotnet / core / runtime-deps : dépendances d'exécution .NET Core
• dotnet / core / samples : exemples .NET Core

Remarque: pour obtenir cette mise à jour, vous devez obtenir les images de conteneur .NET Core mises à jour à l'aide de docker pull ou docker build --pull.

Visual Studio

Cette mise à jour sera incluse dans une future mise à jour de Visual Studio.



Chaque version de Visual Studio est uniquement prise en charge avec cette version du SDK .NET Core. Les informations de version de Visual Studio sont incluses dans les pages de téléchargement et les notes de publication du Kit de développement logiciel .NET Core. Si vous n'utilisez pas Visual Studio, nous vous recommandons d'utiliser le dernier SDK.