我有一个针对.Net Framework 4.6的.Net Web API项目,在此项目中,我具有Microsoft.AspNetCore 2.2.0.0 DLL。
我已经阅读到Microsoft.AspNetCore 2.2.0.0 DLL具有DoS(拒绝服务)安全漏洞。
https://github.com/aspnet/AspNetCore/issues/6488
当我查看建议的分辨率时,它说要升级到2.7版,现在的问题是我无法升级到2.7,因为我可以升级到的最高版本是.Net Framework,而我已经拥有的版本是2.2.0.0。
查询:
此安全漏洞仅适用于通过定位创建的应用吗 .Net Core,而不是.Net Framework,即使Microsoft.AspNetCore 使用了2.2.0.0库?
如果首先为真,那么这是否意味着我不必为此安全漏洞做任何事情?如果没有,那么该如何解决这个安全问题(假设我无法在.Net Framework项目中将Microsoft.AspNetCore升级到2.7)?
答案 0 :(得分:1)
我们所有的安全公告均包括描述如何检测您是否受到影响以及如何更新的部分。链接的问题在“咨询常见问题”中有介绍。在这种情况下,您需要安装Windows Hosting Bundle的最新版本。 即使您使用的是.NET Framework,也是如此。该特定漏洞位于IIS的ASP.NET Core模块中,该模块是允许您在IIS中托管ASP.NET Core应用程序(在.NET Core和.NET Framework上)的本机组件。如果安装主机捆绑包,则应保护所有ASP.NET Core应用程序(包括那些针对.NET Framework的应用程序)免受此问题的影响。常见问题解答还包括有关如何验证您是否安装了正确版本的说明(使用PowerShell脚本检查aspnetcore.dll文件的版本号)
对于软件包:我们不会针对每个补丁程序更新每个软件包。仅受影响的软件包被更新。 Microsoft.AspNetCore软件包根本没有被修补,因此仍位于2.2.0。其他软件包,例如Microsoft.AspNetCore.Mvc.RazorPages也有一些补丁,因此它们的版本是2.2.5。您应始终确保以Microsoft.AspNetCore开头的所有软件包都安装了最新的补丁程序版本(版本号的第三个组件),以获取所有必要的安全更新。