Kurz notiert, aber wichtig: Die beiden LTS (Long Term Support) von .NET 6 und .NET Core 3.1 haben gestern jeweils ein Sicherheitsupdate erhalten. Es wurde eine .NET Denial-of-Service-Schwachstelle unter der CVE-2022-38013 gelistet behoben.
„In ASP.NET Core 3.1 und .NET 6.0 besteht eine Denial-of-Service-Schwachstelle, bei der ein böswilliger Client einen Stapelüberlauf verursachen kann, der zu einem Denial-of-Service-Angriff führen kann, wenn ein Angreifer eine individualisierte Nutzlast sendet, die während der Bindung des Modells geparst wird.“
Könnt ihr gleich einmal winget aufrufen und probieren, ob das Update auch installiert wird. Wir hatten gestern ja darüber berichtet.
Visual Studio 2022 17.3.4
Als Nachtrag: Auch Visual Studio 2022 17.3.4 weist auf diese Lücke hin. Das neue Update korrigiert einige Fehler.
- Beendet die Ausgabe von Fehlalarmen für die Warnung C4191.
- Diese Version korrigiert die folgende Warnung: „Der Wert des Attributs ‚PublicKey‘ in ‚Microsoft .NET Framework 4.7.2 (x86 und x64)‘ stimmt nicht mit dem der Datei ‚C:\Program Files (x86)\Microsoft SDKs\ClickOnce Bootstrapper\Packages\DotNetFX472\NDP472-KB4054530-x86-x64-AllOS-ENU.exe‘ überein. „Nach dem Veröffentlichen des ClickOnce-Projekts in Visual Studio 17.3
Info und Download:
- dotnet.microsoft.com/download/dotnet
- github.com/release-notes/6.0/6.0.9
- github.com/release-notes/3.1/3.1.29
- docs.microsoft.com/visual-studio-2022-version-1734
