.NET diagnostic server 远程代码执行漏洞
漏洞描述
.NET 是一个由微软开发的软件框架,diagnostic server 是 .NET 用于收集和报告应用程序诊断数据的组件。
.NET 6.0.19/7.0.8 及之前版本中由于 diagnostic server 组件存在权限升级漏洞,任何运行在 .NET 中的应用程序都会受到远程代码执行的影响。
建议及时更新漏洞补丁:hxxps://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33127,用户也可通过 Microsoft Update 获取补丁更新:在 Windows 搜索中键入“检查更新”,或打开“设置”,选择“更新和安全”,然后单击“检查更新”。
| 漏洞名称 | .NET diagnostic server 远程代码执行漏洞 |
|---|---|
| 漏洞类型 | 代码注入 |
| 发现时间 | 2023-07-12 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-ry26-nqfz |
| CVE编号 | CVE-2023-33127 |
| CNVD编号 | - |
影响范围
microsoft.windowsdesktop.app.runtime.win-x64@[7.0.0, 7.0.9)
microsoft.windowsdesktop.app.runtime.win-x86@[7.0.0, 7.0.9)
microsoft.windowsdesktop.app.runtime.win-x86@[6.0.0, 6.0.20)
microsoft.windowsdesktop.app.runtime.win-x64@[6.0.0, 6.0.20)
microsoft.windowsdesktop.app.runtime.win-arm64@[7.0.0, 7.0.9)
microsoft.windowsdesktop.app.runtime.win-arm64@[6.0.0, 6.0.20)
Microsoft Visual Studio 2022 version 17.0@[17.0.0, 17.0.23)
Microsoft Visual Studio 2022 version 17.2@[17.2.0, 17.2.17)
Microsoft Visual Studio 2022 version 17.4@[17.4.0, 17.4.9)
Microsoft Visual Studio 2022 version 17.6@[17.6.0, 17.6.5)
.NET 7.0@[7.0.0, 7.0.9)
.NET 6.0@[6.0.0, 6.0.20)
修复方案
将组件 Microsoft Visual Studio 2022 version 17.6 升级至 17.6.5 及以上版本
官方已发布补丁:https://dotnet.microsoft.com/download/dotnet/7.0
将组件 microsoft.windowsdesktop.app.runtime.win-x86 升级至 7.0.9 及以上版本
将组件 microsoft.windowsdesktop.app.runtime.win-x64 升级至 6.0.20 及以上版本
将组件 microsoft.windowsdesktop.app.runtime.win-arm64 升级至 6.0.20 及以上版本
将组件 Microsoft Visual Studio 2022 version 17.0 升级至 17.0.23 及以上版本
将组件 Microsoft Visual Studio 2022 version 17.2 升级至 17.2.17 及以上版本
将组件 Microsoft Visual Studio 2022 version 17.4 升级至 17.4.9 及以上版本
官方已发布补丁:https://dotnet.microsoft.com/download/dotnet/6.0
将组件 microsoft.windowsdesktop.app.runtime.win-x64 升级至 7.0.9 及以上版本
将组件 microsoft.windowsdesktop.app.runtime.win-x86 升级至 6.0.20 及以上版本
将组件 microsoft.windowsdesktop.app.runtime.win-arm64 升级至 7.0.9 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-ry26-nqfz
https://nvd.nist.gov/vuln/detail/CVE-2023-33127
https://github.com/dotnet/announcements/issues/263
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33127
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
