.NET diagnostic server 远程代码执行漏洞-低调大师

.NET diagnostic server 远程代码执行漏洞

2023-07-13 394

漏洞描述

.NET 是一个由微软开发的软件框架，diagnostic server 是 .NET 用于收集和报告应用程序诊断数据的组件。

.NET 6.0.19/7.0.8 及之前版本中由于 diagnostic server 组件存在权限升级漏洞，任何运行在 .NET 中的应用程序都会受到远程代码执行的影响。

建议及时更新漏洞补丁：hxxps://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33127，用户也可通过 Microsoft Update 获取补丁更新：在 Windows 搜索中键入“检查更新”，或打开“设置”，选择“更新和安全”，然后单击“检查更新”。

漏洞名称	.NET diagnostic server 远程代码执行漏洞
漏洞类型	代码注入
发现时间	2023-07-12
漏洞影响广度	广
MPS编号	MPS-ry26-nqfz
CVE编号	CVE-2023-33127
CNVD编号	-

影响范围

microsoft.windowsdesktop.app.runtime.win-x64@[7.0.0, 7.0.9)

microsoft.windowsdesktop.app.runtime.win-x86@[7.0.0, 7.0.9)

microsoft.windowsdesktop.app.runtime.win-x86@[6.0.0, 6.0.20)

microsoft.windowsdesktop.app.runtime.win-x64@[6.0.0, 6.0.20)

microsoft.windowsdesktop.app.runtime.win-arm64@[7.0.0, 7.0.9)

microsoft.windowsdesktop.app.runtime.win-arm64@[6.0.0, 6.0.20)

Microsoft Visual Studio 2022 version 17.0@[17.0.0, 17.0.23)

Microsoft Visual Studio 2022 version 17.2@[17.2.0, 17.2.17)

Microsoft Visual Studio 2022 version 17.4@[17.4.0, 17.4.9)

Microsoft Visual Studio 2022 version 17.6@[17.6.0, 17.6.5)

.NET 7.0@[7.0.0, 7.0.9)

.NET 6.0@[6.0.0, 6.0.20)

修复方案

将组件 Microsoft Visual Studio 2022 version 17.6 升级至 17.6.5 及以上版本

官方已发布补丁：https://dotnet.microsoft.com/download/dotnet/7.0

将组件 microsoft.windowsdesktop.app.runtime.win-x86 升级至 7.0.9 及以上版本

将组件 microsoft.windowsdesktop.app.runtime.win-x64 升级至 6.0.20 及以上版本

将组件 microsoft.windowsdesktop.app.runtime.win-arm64 升级至 6.0.20 及以上版本

将组件 Microsoft Visual Studio 2022 version 17.0 升级至 17.0.23 及以上版本

将组件 Microsoft Visual Studio 2022 version 17.2 升级至 17.2.17 及以上版本

将组件 Microsoft Visual Studio 2022 version 17.4 升级至 17.4.9 及以上版本

官方已发布补丁：https://dotnet.microsoft.com/download/dotnet/6.0

将组件 microsoft.windowsdesktop.app.runtime.win-x64 升级至 7.0.9 及以上版本

将组件 microsoft.windowsdesktop.app.runtime.win-x86 升级至 6.0.20 及以上版本

将组件 microsoft.windowsdesktop.app.runtime.win-arm64 升级至 7.0.9 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-ry26-nqfz

https://nvd.nist.gov/vuln/detail/CVE-2023-33127

https://github.com/dotnet/announcements/issues/263

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33127

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/249149

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Office 和 Windows HTML 远程代码执行漏洞

漏洞描述 Windows 是微软公司开发的操作系统，Office 是微软公司的办公套件，包括常用的办公应用程序如 Word、Excel、PowerPoint 等。受影响的 Windows 和 Office 产品中由于未正确处理跨协议文件导航，当用户打开攻击者恶意构造的 Microsoft Office 文档时，攻击者可在用户主机远程执行任意代码，建议及时更新漏洞补丁：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884。漏洞名称 Office 和 Windows HTML 远程代码执行漏洞漏洞类型代码注入发现时间 2023-07-12 漏洞影响广度广 MPS编号 MPS-ve9m-zjrb CVE编号 CVE-2023-36884 CNVD编号 - 影响范围 Microsoft Word@[2013 Service Pack 1, 2016] Microsoft Office LTSC@[2021, 2021] Windows Server@[2008, 2022] Windows 10@[...

2023-07-13

346

漏洞描述 RocketMQ 是一个开源的分布式消息中间件，NameServer 为 Producer 和 Consumer 节点提供路由信息的组件。由于 CVE-2023-33246 的补丁中并未对 DefaultRequestProcessor#updateConfig 方法中的 configStorePath 属性值进行过滤，当 NameServer 地址暴露在公网并且缺乏权限校验，未经授权的攻击者可 payload 注入到 configStorePath 中，调用 NameServer 的更新配置函数将恶意文件上传到 RocketMQ 服务器中实现远程代码执行。漏洞名称 RocketMQ NameServer存在远程代码执行漏洞漏洞类型代码注入发现时间 2023-07-12 漏洞影响广度广 MPS编号 MPS-suce-h9wp CVE编号 CVE-2023-37582 CNVD编号 - 影响范围 org.apache.rocketmq:rocketmq-namesrv@[4.0.0-incubating, 4.9.7) org.apache.rocketmq:roc...

2023-07-13

394

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。