8.0.303 版本更新说明:
CVE-2024-38095 | .NET 拒绝服务漏洞
Microsoft 发布此安全通报是为了提供有关 .NET 6.0 和 .NET 8.0 中漏洞的信息。此通报还提供有关开发人员可以如何更新其应用程序以消除此漏洞的指导。
当 .NET 中的 System.Formats.Asn1 分析 X.509 证书或证书集合时,存在一个漏洞,恶意证书可能导致所有平台上的 CPU 消耗过多,从而导致拒绝服务。
CVE-2024-35264 | .NET 远程代码执行漏洞
Microsoft 发布此安全通报是为了提供有关 .NET 8.0 中漏洞的信息。此通报还提供有关开发人员可以如何更新其应用程序以消除此漏洞的指导。
ASP.NET Core 8 中存在一个漏洞,其中 Kestrel HTTP/3 中的数据损坏可导致远程代码执行。
注意:HTTP/3 在 .NET 6.0 中是实验性的。如果您使用的是 .NET 6.0 并使用 HTTP/3,请升级到 .NET 8.0.7
CVE-2024-30105 | .NET 拒绝服务漏洞
Microsoft 发布此安全通报是为了提供有关 .NET 8.0 中漏洞的信息。此通报还提供有关开发人员可以如何更新其应用程序以消除此漏洞的指导。
使用 System.Text.Json 对不受信任的输入调用 JsonSerializer.DeserializeAsyncEnumerable 方法时,.NET 中存在一个漏洞,这可能会导致拒绝服务。