更新時間:2023/08/11 14:05:14
發佈時間:2023/08/11 14:05:14
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Microsoft 近期公告 .NET存在高風險DOS漏洞,其內部網頁伺服器元件Kestrel偵測到疑似惡意連線時,有機會因拒絕連線失敗而導致服務中斷,故攻擊者可利用此漏洞對受影響的系統進行DOS攻擊。
二、已揭露攻擊程式碼說明
1.官方證實此漏洞已有POC且可利用於攻擊活動,但目前尚未被公開揭露。
2.CISA 已將上述項漏洞列入已遭利用清單[2],須優先修補。
▶ 參考資訊
⌵
| 網址 | 說明 |
|---|---|
| https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38180 | Microsoft |
| https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| https://access.redhat.com/security/cve/cve-2023-38180 | Redhat |
▶ 影響平台
⌵
影響平台-系統:
Microsoft Visual Studio 2022 version 17.2 修復於 17.2.18
Microsoft Visual Studio 2022 version 17.4 修復於 17.4.10
Microsoft Visual Studio 2022 version 17.6 修復於17.6.6
.NET 6.0 修復於6.0.21
.NET 7.0 修復於7.0.10
ASP.NET Core 2.1 修復於2.1.40
▶ 建議措施
⌵
1.Microsoft 已於8/8發布8月份安全性更新,建議依受影響之版本評估後執行相關作業。
▶ 漏洞資訊
⌵
名稱:
CVE-2023-38180
描述:
使用版本:CVSS 3.1
分析分數:7.5
影響等級:3
參考來源:Microsoft
情資編號:
FISAC-200-202308-0001
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字: