.NET Core および .NET Framework のサービス拒否の脆弱性
リリース日: 2020年5月12日
最終更新日: 2020年6月11日
- Assigning CNA
- Microsoft
- CVE.org link
- MitreCVE-2020-1108
概要
.NET Core または .NET Framework が Web 要求を正しく処理しない場合にサービス拒否の脆弱性が存在します。この脆弱性を悪用することに成功した攻撃者は、.NET Core または .NET Framework Web アプリケーションに対してサービス拒否を起こす可能性があります。この脆弱性は、認証なしでリモートから悪用される可能性があります。
認証されていないリモートの攻撃者が、.NET Core または .NET Framework アプリケーション対して特別に細工された要求を発行することで、この脆弱性を悪用する可能性があります。
この更新プログラムは、.NET Core または .NET Framework アプリケーションが Web 要求を処理する方法を修正することにより、この脆弱性を解決します。
悪用可能性
次の表は、最初の公開時点でのこの脆弱性の悪用可能性評価をまとめたものです。
- Publicly disclosed
- なし
- Exploited
- なし
- Exploitability assessment
- 悪用される可能性は低い
謝辞
セキュリティ更新プログラム
お使いのソフトウェアのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- Monthly Rollup
- -
- -
- -
- -
- -
- -
- -
免責
更新履歴
CVE-2020-1108 を包括的に解決するために、マイクロソフトは PowerShell Core 6.2 および PowerShell 7.0 の更新プログラムをリリースしました。これらのバージョンの PowerShell のいずれかを使用しているお客様は、最新バージョンの PowerShell をインストールすることをお勧めします。PowerShell の最新のバージョン番号と更新手順については、リリース ノート (https://github.com/powershell/announcements/issues/20、英語情報) を参照してください。
CVE-2020-1108 を包括的に解決するために、マイクロソフトは .NET Core 2.1 および .NET Core 3.1 の更新プログラムをリリースしました。これらのバージョンの .NET Core のいずれかを使用しているお客様は、最新バージョンの .NET Core をインストールすることをお勧めします。.NET Core の最新のバージョン番号と更新手順については、リリース ノート (https://github.com/dotnet/announcements/issues/156、英語情報) を参照してください。
PowerShell Core 6.2 および 7.0 は CVE-2020-1108 の影響を受けるため、「セキュリティ更新プログラム」一覧を修正して追加しました。詳細については、https://github.com/PowerShell/Announcements/issues/20 を参照してください。
Itanium ベース システムの Windows Server 2008 にインストールされている Microsoft .NET Framework 3.5 および Itanium ベース システムの Windows Server 2008 R2 にインストールされている Microsoft .NET Framework 3.5.1 はサポートされなくなったため、「セキュリティ更新プログラム」一覧から削除しました。
「セキュリティ更新プログラム」一覧で、.NET Core 2.1 および .NET Core 3.1 のダウンロード リンクを修正しました。これは情報のみの変更です。