Microsoft .NET Framework 的安全更新(2024 年 1 月)
critical Nessus 插件 ID 187901
语言:
简介
远程主机上安装的 Microsoft .NET Framework 缺少安全更新。描述
远程主机上安装的 Microsoft .NET Framework 缺少安全更新。因此该主机会受到多个漏洞的影响,具体如下:- Microsoft .NET Framework 中存在拒绝服务漏洞。(CVE-2023-36042、CVE-2024-21312)
- System.Data.SqlClient SQL 数据提供程序中存在安全功能绕过漏洞。攻击者可对客户端和服务器之间的连接执行中间人攻击,以读取和修改 TLS 流量。(CVE-2024-0056)
- 使用 X.509 链构建 API 的应用程序存在安全功能绕过漏洞。处理包含畸形签名的不受信任证书时,框架会返回错误原因代码。
使用此原因代码的应用程序可将此情况视为链构建成功,从而可能绕过应用程序的典型认证逻辑。(CVE-2024-0057)
解决方案
Microsoft 已发布用于 Microsoft .NET Framework 的安全更新。另见
http://www.nessus.org/u?a8f77e6e
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36042
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-0056
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-0057
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21312
https://support.microsoft.com/en-us/help/5033898
https://support.microsoft.com/en-us/help/5033899
https://support.microsoft.com/en-us/help/5033904
https://support.microsoft.com/en-us/help/5033907
https://support.microsoft.com/en-us/help/5033909
https://support.microsoft.com/en-us/help/5033910
https://support.microsoft.com/en-us/help/5033911
https://support.microsoft.com/en-us/help/5033912
https://support.microsoft.com/en-us/help/5033914
https://support.microsoft.com/en-us/help/5033916
https://support.microsoft.com/en-us/help/5033917
https://support.microsoft.com/en-us/help/5033918
https://support.microsoft.com/en-us/help/5033919
https://support.microsoft.com/en-us/help/5033920
https://support.microsoft.com/en-us/help/5033922
https://support.microsoft.com/en-us/help/5033945
https://support.microsoft.com/en-us/help/5033946
插件详情
严重性: Critical
ID: 187901
文件名: smb_nt_ms24_jan_dotnet.nasl
版本: 1.4
类型: local
代理: windows
发布时间: 2024/1/10
最近更新时间: 2024/3/29
支持的传感器: Nessus
风险信息
VPR
风险因素: High
分数: 7.1
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2024-0057
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:microsoft:.net_framework
必需的 KB 项: SMB/MS_Bulletin_Checks/Possible
易利用性: No known exploits are available
补丁发布日期: 2024/1/9
漏洞发布日期: 2024/1/9
参考资料信息
CVE: CVE-2023-36042, CVE-2024-0056, CVE-2024-0057, CVE-2024-21312
IAVA: 2024-A-0011-S
MSFT: MS24-5033898, MS24-5033899, MS24-5033904, MS24-5033907, MS24-5033909, MS24-5033910, MS24-5033911, MS24-5033912, MS24-5033914, MS24-5033916, MS24-5033917, MS24-5033918, MS24-5033919, MS24-5033920, MS24-5033922, MS24-5033945, MS24-5033946, MS24-5033947, MS24-5033948
MSKB: 5033898, 5033899, 5033904, 5033907, 5033909, 5033910, 5033911, 5033912, 5033914, 5033916, 5033917, 5033918, 5033919, 5033920, 5033922, 5033945, 5033946, 5033947, 5033948