阿里云漏洞库

漏洞描述

Microsoft .NET Core和Microsoft ASP.NET Core都是美国微软（Microsoft）公司的产品。.NET Core是一套免费的开源开发平台。该平台具有多语言支持和跨平台等特点。Microsoft ASP.NET Core是一框跨平台开源框架。该框架用于构建Web应用、物联网应用和移动后端等基于云的应用程序。 Microsoft .NET Core和Microsoft ASP.NET Core 中存在安全漏洞。该漏洞源于ASP.NET Core cookie 解析器对整个 cookie 字符串进行解码，攻击者可利用该漏洞设置第二个 cookie。以下产品及版本受到影响： ASP.NET Core 2.1版本， ASP.NET Core 3.1版本。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：
https://portal.msrc.microsoft.com/en-us/security-guidance

参考链接
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-1045
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1045

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	microsoft	asp.net_core	2.1	-
	运行在以下环境
	应用	microsoft	asp.net_core	3.1	-
	运行在以下环境
	系统	centos_8	dotnet-templates-3.1	*		Up to (excluding) 3.1.108-2.el8_2
	运行在以下环境
	系统	fedora_32	aspnetcore-runtime-3.1	*		Up to (excluding) 3.1.108-1.fc32
	运行在以下环境
	系统	fedora_32	aspnetcore-targeting-pack-3.1	*		Up to (excluding) 3.1.108-1.fc32
	运行在以下环境
	系统	fedora_32	dotnet	*		Up to (excluding) 3.1.108-1.fc32
	运行在以下环境
	系统	fedora_32	dotnet-apphost-pack-3.1	*		Up to (excluding) 3.1.108-1.fc32
	运行在以下环境
	系统	fedora_32	dotnet-host	*		Up to (excluding) 3.1.108-1.fc32
	运行在以下环境
	系统	fedora_32	dotnet-hostfxr-3.1	*		Up to (excluding) 3.1.108-1.fc32
	运行在以下环境
	系统	fedora_32	dotnet-runtime-3.1	*		Up to (excluding) 3.1.108-1.fc32
	运行在以下环境
	系统	fedora_32	dotnet-sdk-3.1	*		Up to (excluding) 3.1.108-1.fc32
	运行在以下环境
	系统	fedora_32	dotnet-targeting-pack-3.1	*		Up to (excluding) 3.1.108-1.fc32
	运行在以下环境
	系统	fedora_32	dotnet-templates-3.1	*		Up to (excluding) 3.1.108-1.fc32
	运行在以下环境
	系统	fedora_32	netstandard-targeting-pack-2.1	*		Up to (excluding) 3.1.108-1.fc32
	运行在以下环境
	系统	fedora_33	aspnetcore-runtime-3.1	*		Up to (excluding) 3.1.108-1.fc33
	运行在以下环境
	系统	fedora_33	aspnetcore-targeting-pack-3.1	*		Up to (excluding) 3.1.108-1.fc33
	运行在以下环境
	系统	fedora_33	dotnet	*		Up to (excluding) 3.1.108-1.fc33
	运行在以下环境
	系统	fedora_33	dotnet-apphost-pack-3.1	*		Up to (excluding) 3.1.108-1.fc33
	运行在以下环境
	系统	fedora_33	dotnet-host	*		Up to (excluding) 3.1.108-1.fc33
	运行在以下环境
	系统	fedora_33	dotnet-hostfxr-3.1	*		Up to (excluding) 3.1.108-1.fc33
	运行在以下环境
	系统	fedora_33	dotnet-runtime-3.1	*		Up to (excluding) 3.1.108-1.fc33
	运行在以下环境
	系统	fedora_33	dotnet-sdk-3.1	*		Up to (excluding) 3.1.108-1.fc33
	运行在以下环境
	系统	fedora_33	dotnet-targeting-pack-3.1	*		Up to (excluding) 3.1.108-1.fc33
	运行在以下环境
	系统	fedora_33	dotnet-templates-3.1	*		Up to (excluding) 3.1.108-1.fc33
	运行在以下环境
	系统	fedora_33	netstandard-targeting-pack-2.1	*		Up to (excluding) 3.1.108-1.fc33
	运行在以下环境
	系统	oracle_8	aspnetcore-runtime-3.1	*		Up to (excluding) 3.1.8-2.0.1.el8_2
	运行在以下环境
	系统	oracle_8	aspnetcore-targeting-pack-3.1	*		Up to (excluding) 3.1.8-2.0.1.el8_2
	运行在以下环境
	系统	oracle_8	dotnet	*		Up to (excluding) 3.1.8-2.0.1.el8_2
	运行在以下环境
	系统	oracle_8	dotnet-apphost-pack-3.1	*		Up to (excluding) 3.1.8-2.0.1.el8_2
	运行在以下环境
	系统	oracle_8	dotnet-host	*		Up to (excluding) 3.1.8-2.0.1.el8_2
	运行在以下环境
	系统	oracle_8	dotnet-hostfxr-3.1	*		Up to (excluding) 3.1.8-2.0.1.el8_2
	运行在以下环境
系统	oracle_8	dotnet-runtime-3.1	*		Up to (excluding) 3.1.8-2.0.1.el8_2
运行在以下环境
系统	oracle_8	dotnet-sdk-3.1	*		Up to (excluding) 3.1.8-2.0.1.el8_2
运行在以下环境
系统	oracle_8	dotnet-targeting-pack-3.1	*		Up to (excluding) 3.1.8-2.0.1.el8_2
运行在以下环境
系统	oracle_8	dotnet-templates-3.1	*		Up to (excluding) 3.1.8-2.0.1.el8_2
运行在以下环境
系统	oracle_8	netstandard-targeting-pack-2.1	*		Up to (excluding) 3.1.8-2.0.1.el8_2
运行在以下环境
系统	redhat_8	dotnet-templates-3.1	*		Up to (excluding) 3.1.108-2.el8_2

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
NVD-CWE-noinfo

低危 Microsoft ASP.NET Core 安全功能绕过漏洞

漏洞描述

解决建议

参考链接

受影响软件情况