9.0.100 RC 2 版本更新说明:
Microsoft 安全公告 CVE-2024-38229 | .NET 远程代码执行漏洞
微软发布了此安全公告,以提供关于 .NET 8.0 和 .NET 9.0 中的一个漏洞的信息。此公告还提供了开发者如何更新其应用程序以消除此漏洞的指导。
在 ASP.NET 中,当应用程序代码正在向响应体写入时关闭 HTTP/3 流,可能会导致竞态条件,从而引发释放后使用(use-after-free)漏洞。
注意: HTTP/3 在 .NET 6.0 中是实验性的。如果您正在使用 .NET 6.0 并且启用了 HTTP/3,请升级到 .NET 8.0.10。.NET 6.0 不会为此漏洞接收安全补丁。
Microsoft 安全公告 CVE-2024-43483 | .NET 拒绝服务漏洞
微软发布了此安全公告,以提供关于 System.Security.Cryptography.Cose、System.IO.Packaging 和 System.Runtime.Caching 中的一个漏洞的信息。此公告还提供了开发者如何更新其应用程序以消除此漏洞的指导。
System.Security.Cryptography.Cose、System.IO.Packaging 和 System.Runtime.Caching 可能会暴露于恶意输入,这可能导致它们容易受到哈希洪水攻击,进而导致拒绝服务。
Microsoft 安全公告 CVE-2024-43484 | .NET 拒绝服务漏洞
微软发布了此安全公告,以提供关于 System.IO.Packaging 中的一个漏洞的信息。此公告还提供了开发者如何更新其应用程序以消除此漏洞的指导。
System.IO.Packaging 库可能允许不受信任的输入影响算法复杂度高的操作,从而导致拒绝服务。
Microsoft 安全公告 CVE-2024-43485 | .NET 拒绝服务漏洞
微软发布了此安全公告,以提供关于 System.Text.Json 6.0.x 和 8.0.x 中的一个漏洞的信息。此公告还提供了开发者如何更新其应用程序以消除此漏洞的指导。
在 System.Text.Json 6.0.x 和 8.0.x 中,将输入反序列化到具有 [ExtensionData] 属性的模型的应用程序可能会受到算法复杂度攻击的影响,导致拒绝服务。