Poradce microsoftu pro zabezpečení 4021279

  • Článek

Ohrožení zabezpečení v .NET Core, ASP.NET Core by mohlo umožnit zvýšení oprávnění

Publikováno: 9. května 2017 | Aktualizováno: 10. května 2017

Verze: 1.1

Shrnutí

Společnost Microsoft vydává tento poradce pro zabezpečení, který poskytuje informace o ohroženích zabezpečení ve veřejném rozhraní .NET Core a ASP.NET Core. Tento informační zpravodaj také obsahuje pokyny, jak mají vývojáři správně aktualizovat aplikace.

.NET Core a ASP.NET Core jsou další generace .NET, která poskytuje známou a moderní architekturu pro webové a cloudové scénáře. Tyto produkty aktivně vyvíjí tým .NET a ASP.NET ve spolupráci s komunitou opensourcových vývojářů běžících ve Windows, Mac OS X a Linuxu. Po vydání .NET Core se číslo verze resetovalo na 1.0.0, aby odráželo skutečnost, že se jedná o samostatný produkt od předchůdce -.NET.

Cves a popis problému

CVE Popis
CVE-2017-0247 Odepření služby
CVE-2017-0248 Obejití funkcí zabezpečení
CVE-2017-0249 Zvýšení oprávnění
CVE-2017-0256 Falšování identity

Ovlivněný software

Tato ohrožení zabezpečení mají vliv na jakýkoli projekt Microsoft .NET Core, pokud používá následující ovlivněné verze balíčků.

Ovlivněný balíček a verze
Název balíčku Verze balíčků Opravené verze balíčků
System.Text.Encodings.Web 4.0.0 4.3.0 4.0.1 4.3.1
System.Net.Http 4.1.1 4.3.1 4.1.2 4.3.2
System.Net.Http.WinHttpHandler 4.0.1 4.3.0 4.0.2 4.3.1
System.Net.Security 4.0.0 4.3.0 4.0.1 4.3.1
System.Net.WebSockets.Client 4.0.0 4.3.0 4.0.1 4.3.1
Microsoft.AspNetCore.Mvc 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Core 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Abstractions 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.ApiExplorer 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Cors 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.DataAnnotations 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Formatters.Json 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Formatters.Xml 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Localization 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Razor.Host 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.Razor 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.TagHelpers 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.ViewFeatures 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3
Microsoft.AspNetCore.Mvc.WebApiCompatShim 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 1.0.4 1.1.3

Nejčastější dotazy k poradenství

Návody vědět, jestli mě to ovlivní?
.NET Core a ASP.NET Core mají dva typy závislostí: přímé a tranzitivní. Pokud má váš projekt přímou nebo tranzitivní závislost na některém z balíčků a verzí uvedených dříve, budete ovlivněni.

Poznámka:

V rámci oprav ASP.NET Core MVC aktualizujeme každý balíček Microsoft.AspNetCore.Mvc.*. Pokud například máte závislost na Microsoft.AspNetCore.Mvc, měli byste nejprve aktualizovat na příslušnou verzi (1.0.x by se měla aktualizovat na 1.0.4, 1.1.x by měla být aktualizována na 1.1.3), a také aktualizuje všechny ostatní ohrožené závislosti Microsoft.AspNetCore.Mvc.

Formáty projektu .NET Core

.NET Core má dva různé formáty souborů projektu v závislosti na tom, jaký software projekt vytvořil.

  1. project.json je původní formát, který je součástí .NET Core 1.0 a Microsoft Visual Studio 2015.
  2. csproj je formát používaný v sadě Microsoft Visual Studio 2017.

Musíte zajistit, abyste postupli podle správných pokynů k aktualizaci pro váš typ projektu.

Přímé závislosti

Přímé závislosti jsou závislosti, ve kterých do projektu konkrétně přidáte balíček. Pokud například do projektu přidáte balíček Microsoft.AspNetCore.Mvc, pak jste vzali přímou závislost na Microsoft.AspNetCore.Mvc.

Přímé závislosti jsou zjistitelné kontrolou project.json nebo souboru csproj.

Přechodné závislosti

Přechodné závislosti nastanou, když do projektu přidáte balíček, který zase spoléhá na jiný balíček. Pokud například do projektu přidáte balíček Microsoft.AspNetCore.Mvc, závisí na balíčku Microsoft.AspNetCore.Mvc.Core (mimo jiné). Váš projekt má přímou závislost na Microsoft.AspNetCore.Mvc a tranzitivní závislost na balíčku Microsoft.AspNetCore.Mvc.Core.

Přechodné závislosti se dají kontrolovat v okně Průzkumník řešení sady Visual Studio, které podporuje vyhledávání, nebo kontrolou souboru project.lock.json obsaženého v kořenovém adresáři projektu pro projekty project.json nebo v project.assets.json souboru obsaženém v adresáři obj projektu pro projekty csproj. Tyto soubory jsou autoritativním seznamem všech balíčků používaných vaším projektem, který obsahuje přímé i tranzitivní závislosti.

Návody opravit ovlivněnou aplikaci?

Budete muset opravit přímé závislosti a zkontrolovat a opravit všechny tranzitivní závislosti. Ovlivněné balíčky a verze v předchozí části Ovlivněný software zahrnují každý ohrožený balíček, zranitelné verze a opravené verze.

Pokud ve svých projektech používáte ASP.NET Core MVC, měli byste nejprve aktualizovat verzi Microsoft.AspNetCore.Mvc podle předchozí tabulky ovlivněných verzí. Pokud aktuálně používáte verzi 1.0.0, 1.0.1, 1.0.2 nebo 1.0.3, měli byste aktualizovat verzi balíčku na verzi 1.0.4. Pokud používáte verzi 1.1.0, 1.1.1 nebo 1.1.2, měli byste aktualizovat verzi balíčku na verzi 1.1.3. Tím se aktualizuje každý balíček MVC na pevné verze.

Oprava přímých závislostí – project.json/VS2015

Otevřete soubor project.json v editoru. Vyhledejte část závislostí. Níže je příklad oddílu závislostí:

    "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
        "Microsoft.AspNetCore.Mvc ": "1.0.1",
         
      }

Tento příklad má tři přímé závislosti: Microsoft.NETCore.App, Microsoft.AspNetCore.Server.Kestrel a Microsoft.AspNetCore.Mvc.

Microsoft.NetCore.App je platforma, na kterou cílí aplikace, měli byste tuto možnost ignorovat. Ostatní balíčky zpřístupňují jejich verzi napravo od názvu balíčku. V našem příkladu jsou naše neformní balíčky verze 1.0.1.

Zkontrolujte přímé závislosti pro všechny instance balíčků a verzí uvedených dříve. V předchozím příkladu existuje přímá závislost na jednom z ohrožených balíčků Microsoft.AspNetCore.Mvc verze 1.0.1.

Pokud chcete aktualizovat na pevný balíček, změňte číslo verze tak, aby bylo vhodné pro vaši verzi. V tomto příkladu by se aktualizoval Microsoft.AspNetCore.Mvc na 1.0.4.

Po aktualizaci ohrožených verzí balíčků uložte soubor project.json.

Část závislostí v našem příkladu project.json by teď vypadala takto:

      "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
        "Microsoft.AspNetCore.Mvc": "1.0.4",
          
      }

Pokud používáte Visual Studio a ukládáte aktualizovaný soubor project.json, Visual Studio obnoví novou verzi balíčku. Výsledky obnovení můžete zobrazit tak, že otevřete okno výstupu (Ctrl+Alt+O) a změníte výstup z rozevíracího seznamu na Správce balíčků.

Pokud visual Studio nepoužíváte, otevřete příkazový řádek a přejděte do adresáře projektu. Spuštěním příkazu dotnet restore obnovte novou závislost.

Po vyřešení všech přímých závislostí musíte také zkontrolovat přechodné závislosti.

Oprava přímých závislostí – csproj/VS2017

Otevřete soubor projectname.csproj v editoru nebo klikněte pravým tlačítkem na projekt v sadě Visual Studio 2017 a v nabídce obsahu zvolte Upravit název projektu.csproj, kde název projektu je název projektu. Vyhledejte uzly PackageReference. Následuje příklad souboru projektu:


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.2">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>

Příklad obsahuje dvě přímé závislosti balíčků, jak je vidět u dvou elementů PackageReference. Název balíčku je v atributu Include a číslo verze balíčku je v atributu Verze, který je vystaven vpravo od názvu balíčku. Příklad ukazuje dva balíčky Microsoft.AspNetCore verze 1.1.1 a Microsoft.AspNetCore.Mvc.Core verze 1.1.2.

Zkontrolujte elementy PackageReference pro všechny instance balíčků a verzí uvedených dříve. V předchozím příkladu existuje přímá závislost na jednom z ohrožených balíčků Microsoft.AspNetCore.Mvc verze 1.1.2.

Pokud chcete aktualizovat pevný balíček, změňte číslo verze na příslušný balíček pro vaši verzi. V tomto příkladu by se aktualizoval Microsoft.AspNetCore.Mvc na 1.1.3.

Po aktualizaci ohrožené verze balíčku uložte soubor csproj.

Příklad csproj by teď vypadal takto:


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc.Core" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>

Pokud používáte Visual Studio a uložíte aktualizovaný soubor csproj, Visual Studio obnoví novou verzi balíčku. Výsledky obnovení můžete zobrazit tak, že otevřete okno výstupu (Ctrl+Alt+O) a změníte výstup z rozevíracího seznamu na Správce balíčků.

Pokud nepoužíváte Visual Studio, otevřete příkazový řádek a přejděte do adresáře projektu. Spuštěním příkazu dotnet restore obnovte novou závislost.

Znovu zkompilujte aplikaci.

Pokud se po rekompilace zobrazí upozornění na konflikt závislostí, musíte aktualizovat ostatní přímé závislosti na příslušnou verzi. Pokud například váš projekt odkazuje na Microsoft.AspNetCore.Routing s číslem verze 1.0.1 při aktualizaci balíčku Microsoft.AspNetCore.Mvc na 1.0.4, kompilace vyvolá:

Konflikt závislostí NU1012 Microsoft.AspNetCore.Mvc.Core 1.0.4 očekával Microsoft.AspNetCore.Routing >= 1.0.4, ale obdržel 1.0.1

Pokud chcete tento problém vyřešit, upravte verzi očekávaného balíčku aktualizací souboru csproj nebo project.json stejným způsobem, jakým jste použili k aktualizaci ohrožených verzí balíčků.

Po vyřešení všech přímých závislostí musíte také zkontrolovat přechodné závislosti.

Kontrola tranzitivních závislostí

Existují dva způsoby zobrazení tranzitivních závislostí. Můžete použít Průzkumník řešení sady Visual Studio nebo můžete zkontrolovat soubor project.lock.json (project.json/VS2015) nebo project.assets.json (csproj/VS2017).

Použití sady Visual Studio Průzkumník řešení (VS2015)

Pokud chcete použít Visual Studio 2015, otevřete projekt v sadě Visual Studio 2015 a stiskněte ctrl+; aktivujte vyhledávání v Průzkumník řešení. Vyhledejte všechny ohrožené názvy balíčků a poznamenejte si čísla verzí nalezených výsledků.

Například hledání Microsoft.AspNetCore.Mvc.Core v ukázkovém projektu, který obsahuje odkaz na Microsoft.AspNetCore.Mvc, ukazuje následující výsledky v sadě Visual Studio 2015.

Obrázek 1: Vyhledávání odkazů v sadě Visual Studio 2015

Výsledky hledání se zobrazí jako strom. V těchto výsledcích vidíte, že jsme našli odkazy na Microsoft.AspNetCore.Mvc verze 1.0.1, zranitelnou verzi.

První položka pod nadpisem Reference odkazuje na cílovou architekturu, která vaše aplikace používá. To bude . NETCoreApp, . NETStandard nebo . NET-Framework-vX.Y.Z (kde X.Y.Z je skutečné číslo verze) v závislosti na tom, jak jste aplikaci nakonfigurovali. V rámci cílové architektury bude seznam balíčků, na kterých jste přímo využili závislost. V tomto příkladu aplikace přebírá závislost na Microsoft.AspNetCore.Mvc. Microsoft.AspNetCore.Mvc zase obsahuje uzly typu list, které uvádějí jeho závislosti a jejich verze. V tomto případě balíček Microsoft.AspNetCore.Mvc využívá závislost na zranitelné verzi Microsoft.AspNetCore.Mvc.Core a mnoha dalších balíčcích.

Ruční kontrola project.lock.json (project.json/VS2015)

Otevřete soubor project.lock.json v editoru. Doporučujeme použít editor, který rozumí formátu JSON a umožňuje sbalit a rozbalit uzly pro kontrolu tohoto souboru; Visual Studio i Visual Studio Code poskytují tuto funkci.

Pokud používáte Visual Studio, project.lock.json soubor je "pod" project.json soubor. Kliknutím na pravý trojúhelník, ▷, vlevo od souboru project.json rozbalte strom řešení, aby se zpřístupnil project.lock.json soubor. Obrázek 1 níže ukazuje projekt s rozbaleným souborem project.json, aby se zobrazil project.lock.json soubor.

Obrázek 2: project.lock.json umístění souboru

Vyhledejte v souboru project.lock.json řetězec Microsoft.AspNetCore.Mvc.Core/1.1.0. Pokud váš project.lock.json soubor obsahuje tento řetězec, máte závislost na zranitelném balíčku.

Oprava přechodných závislostí (project.json/VS2015)

Pokud jste nenašli žádný odkaz na žádné ohrožené balíčky, znamená to, že žádná z vašich přímých závislostí nezávisí na žádných ohrožených balíčcích nebo jste problém již vyřešili aktualizací přímých závislostí.

Pokud kontrola tranzitivní závislosti zjistila odkazy na některý z ohrožených balíčků, musíte do aktualizovaného balíčku přidat přímou závislost project.json, aby se přepsaly přechodné závislosti. Otevřete project.json a vyhledejte část závislostí. Příklad:


      "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
        "Microsoft.AspNetCore.Mvc": "1.1.0"
      }

Pro každý z ohrožených balíčků, které vaše vyhledávání vrátilo, musíte přidat přímou závislost do aktualizované verze tak, že ji přidáte do project.json souboru. Uděláte to tak, že do oddílu závislostí přidáte nový řádek s odkazem na pevnou verzi. Pokud například hledání ukázalo tranzitivní odkaz na zranitelnou verzi System.Net.Security verze 4.0.0, přidali byste odkaz na příslušnou opravenou verzi 4.0.1. Upravte soubor project.json následujícím způsobem:


      "dependencies": {
        "Microsoft.NETCore.App": {
          "version": "1.0.1",
          "type": "platform"
        },
        "System.Net.Security": "4.0.1",
        "Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
        "Microsoft.AspNetCore.Mvc": "1.1.1"
      }

Po přidání přímých závislostí do pevných balíčků uložte soubor project.json.

Pokud používáte Sadu Visual Studio, uložíte aktualizovaný soubor project.json a Visual Studio obnoví nové verze balíčků. Výsledky obnovení můžete zobrazit tak, že otevřete okno výstupu (Ctrl+Alt+O) a změníte výstup z rozevíracího seznamu na Správce balíčků.

Pokud nepoužíváte Visual Studio, otevřete příkazový řádek a přejděte do adresáře projektu. Spuštěním příkazu dotnet restore obnovte nové závislosti.

Použití sady Visual Studio Průzkumník řešení (VS2017)

Pokud chcete použít Průzkumník řešení, otevřete projekt v sadě Visual Studio 2017 a stisknutím kombinace kláves Ctrl+; aktivujte hledání v Průzkumník řešení. Vyhledejte všechny ohrožené názvy balíčků a poznamenejte si čísla verzí nalezených výsledků.

Například hledání Microsoft.AspNetCore.Mvc.Core v ukázkovém projektu, který obsahuje balíček, který přebírá závislost na Microsoft.AspNetCore.Mvc, ukazuje následující výsledky v sadě Visual Studio 2017.

Obrázek 3: Vyhledávání odkazů v sadě Visual Studio 2017

Výsledky hledání se zobrazí jako strom. V těchto výsledcích vidíte, že jsme našli odkazy na Microsoft.AspNetCore.Mvc.Core verze 1.1.2.

V uzlu Závislosti bude uzel NuGet. V uzlu NuGet bude seznam balíčků, na kterých jste přímo vzali závislost, a jejich verze. V tomto příkladu aplikace přebírá přímou závislost na Microsoft.AspNetCore.Mvc. Microsoft.AspNetCore.Mvc zase obsahuje uzly typu list, které uvádějí jeho závislosti a jejich verze. V příkladu balíček Microsoft.AspNetCore.Mvc přebírá závislost na verzi Microsoft.AspNetCore.Mvc.ApiExplorer, která zase přebírá závislost na zranitelné verzi Microsoft.AspNetCore.Mvc.Core.

Ruční kontrola project.assets.json (VS2017)

Otevřete soubor project.assets.json z adresáře obj projektu v editoru. Doporučujeme použít editor, který rozumí formátu JSON a umožňuje sbalit a rozbalit uzly pro kontrolu tohoto souboru; Visual Studio i Visual Studio Code poskytují tuto funkci.

Vyhledejte v souboru project.assets.json názvy jednotlivých balíčků v tabulce ohrožených balíčků, za kterými následuje /. Například hledání Microsoft.AspNetCore.Mvc by znamenalo použití vyhledávacího řetězce "Microsoft.AspNetCore.Mvc/". Pokud váš project.assets.json soubor obsahuje tento řetězec a celé číslo verze (číslo za /v libovolných přístupech hledání) odpovídá jedné z dříve uvedených ohrožených verzí, máte závislost na zranitelném balíčku.

Oprava tranzitivních závislostí (csproj/VS2017)

Pokud jste nenašli žádný odkaz na žádné ohrožené balíčky, znamená to, že žádná z vašich přímých závislostí nezávisí na žádných ohrožených balíčcích nebo jste problém již vyřešili aktualizací přímých závislostí.

Pokud kontrola tranzitivní závislosti našla odkazy na některý z ohrožených balíčků, musíte do souboru csproj přidat přímou závislost, aby se přepsala tranzitivní závislost. Otevřete soubor projectname.csproj v editoru nebo klikněte pravým tlačítkem na projekt v sadě Visual Studio 2017 a v nabídce obsahu zvolte Upravit název projektu.csproj, kde název projektu je název projektu. Vyhledejte uzly PackageReference, například:


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>
</project>

Pro každý z ohrožených balíčků, které vaše vyhledávání vrátilo, musíte přidat přímou závislost do aktualizované verze přidáním do souboru csproj. Uděláte to tak, že do oddílu závislostí přidáte nový řádek s odkazem na pevnou verzi. Pokud například hledání ukázalo tranzitivní odkaz na zranitelnou verzi System.Net.Security verze 4.3.0, přidali byste odkaz na příslušnou pevnou verzi 4.3.1.


    <project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="System.Net.Security" version="4.3.1">
</packagereference><packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>

Po přidání odkazu na přímou závislost uložte soubor csproj.

Pokud používáte Visual Studio, uložte aktualizovaný soubor csproj a Visual Studio obnoví nové verze balíčků. Výsledky obnovení můžete zobrazit tak, že otevřete okno výstupu (Ctrl+Alt+O) a změníte výstup z rozevíracího seznamu na Správce balíčků.

Pokud visual Studio nepoužíváte, otevřete příkazový řádek a přejděte do adresáře projektu. Spuštěním příkazu dotnet restore obnovte nové závislosti.

Opětovné sestavení aplikace

Nakonec aplikaci znovu sestavíte, otestujte, jak byste to normálně udělali a znovu nasadili pomocí svého upřednostňovaného mechanismu nasazení.

Další informace

Hlášení problémů se zabezpečením

  • Pokud jste v .NET Core našli potenciální problém se zabezpečením, pošlete e-mailem podrobnosti na adresu . Sestavy můžou mít nárok na bounty chyb .NET Core. Podrobnosti o bounty chyb .NET Core, včetně podmínek a ujednání, najdete na adrese https:.

Program Microsoft Active Protections (MAPP)

Microsoft poskytuje informace o ohrožení zabezpečení pro zákazníky, aby před každým měsíčním vydáním aktualizace zabezpečení poskytovala informace o ohrožení zabezpečení významným poskytovatelům softwaru zabezpečení. Poskytovatelé softwaru zabezpečení pak můžou tyto informace o ohrožení zabezpečení použít k poskytování aktualizovaných ochrany zákazníkům prostřednictvím bezpečnostního softwaru nebo zařízení, jako jsou antivirová ochrana, systémy detekce neoprávněných vniknutí na základě sítě nebo systémy ochrany před neoprávněným vniknutím na základě hostitele. Pokud chcete zjistit, jestli jsou aktivní ochrany dostupné od poskytovatelů softwaru zabezpečení, navštivte weby aktivní ochrany poskytované partnery programu, které jsou uvedeny v programu Microsoft Active Protections Program (MAPP) Partneři.

Váš názor

  • Zpětnou vazbu můžete poskytnout vyplněním formuláře nápovědy a podpory Microsoftu, kontaktujte nás oddělení služeb zákazníkům.

Technická podpora

  • Dotazy k tomuto problému můžete klást na GitHubu v organizacích .NET Core nebo ASP.NET Core. Nachází se na <adrese /https:>https: a </https:>https:. Úložiště Oznámení pro každý produkt (https://github.com/dotnet/Announcements a https://github.com/aspnet/Announcements) bude obsahovat tento poradce jako problém a bude obsahovat odkaz na diskuzní problém, kde můžete klást otázky.
  • Zákazníci v USA a Kanadě můžou získat technickou podporu od podpory zabezpečení. Další informace naleznete v nápovědě a podpoře společnosti Microsoft.
  • Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace naleznete v tématu Mezinárodní podpora. * Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Společnosti Microsoft.

Poděkování

Microsoft děkujeme , že s námi spolupracujete na ochraně zákazníků:

  • David Fernandez of Sidertia Solutions for reporting the ASP.NET Core Denial of Service Vulnerability (CVE-2017-0247)
  • Michail Shcherbakov pro hlášení ohrožení zabezpečení ASP.NET základní falšování identity (CVE-2017-0256)

Právní doložka

Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.

Revize

  • V1.0 (9. května 2017): Publikováno poradce.
  • V1.1 (10. května 2017): Doporučení revidováno tak, aby obsahovalo tabulku CVE a jejich popisy. Jedná se pouze o informační změnu.

Stránka vygenerovaná 2017-05-10 13:08-07:00. </https:>