Microsoft 보안 권고 4021279
.NET Core, ASP.NET Core의 취약성으로 권한 상승 허용
게시 날짜: 2017년 5월 9일 | 업데이트: 2017년 5월 10일
버전: 1.1
요약
Microsoft는 공용 .NET Core 및 ASP.NET Core의 취약성에 대한 정보를 제공하기 위해 이 보안 권고를 릴리스합니다. 이 권고는 또한 개발자가 자신의 애플리케이션을 올바르게 업데이트하기 위해 수행할 수 있는 지침을 제공합니다.
.NET Core &ASP.NET Core는 웹 및 클라우드 시나리오에 친숙하고 최신 프레임워크를 제공하는 차세대 .NET입니다. 이러한 제품은 Windows, Mac OS X 및 Linux에서 실행되는 오픈 소스 개발자 커뮤니티와 협력하여 .NET 및 ASP.NET 팀에서 적극적으로 개발합니다. .NET Core가 릴리스되었을 때 버전 번호는 이전 -.NET과는 별개의 제품이라는 사실을 반영하기 위해 1.0.0으로 다시 설정되었습니다.
문제 CVE 및 설명
에스쿠도 | 설명 |
---|---|
CVE-2017-0247 | 서비스 거부 |
CVE-2017-0248 | 보안 기능 바이패스 |
CVE-2017-0249 | 권한 상승 |
CVE-2017-0256 | 스푸핑 |
영향을 받는 소프트웨어
영향을 받는 다음 패키지 버전을 사용하는 경우 취약성은 Microsoft .NET Core 프로젝트에 영향을 미칩니다.
영향을 받는 패키지 및 버전 | ||
---|---|---|
패키지 이름 | 패키지 버전 | 고정 패키지 버전 |
System.Text.Encodings.Web | 4.0.0 4.3.0 | 4.0.1 4.3.1 |
System.Net.Http | 4.1.1 4.3.1 | 4.1.2 4.3.2 |
System.Net.Http.WinHttpHandler | 4.0.1 4.3.0 | 4.0.2 4.3.1 |
System.Net.Security | 4.0.0 4.3.0 | 4.0.1 4.3.1 |
System.Net.WebSockets.Client | 4.0.0 4.3.0 | 4.0.1 4.3.1 |
Microsoft.AspNetCore.Mvc | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
Microsoft.AspNetCore.Mvc.Core | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
Microsoft.AspNetCore.Mvc.Abstractions | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
Microsoft.AspNetCore.Mvc.ApiExplorer | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
Microsoft.AspNetCore.Mvc.Cors | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
Microsoft.AspNetCore.Mvc.DataAnnotations | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
Microsoft.AspNetCore.Mvc.Formatters.Json | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
Microsoft.AspNetCore.Mvc.Formatters.Xml | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
Microsoft.AspNetCore.Mvc.Localization | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
Microsoft.AspNetCore.Mvc.Razor.Host | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
Microsoft.AspNetCore.Mvc.Razor | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
Microsoft.AspNetCore.Mvc.TagHelpers | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
Microsoft.AspNetCore.Mvc.ViewFeatures | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
Microsoft.AspNetCore.Mvc.WebApiCompatShim | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
권고 FAQ
내가 영향을 받는지 어떻게 할까요? 알 수 있습니까?
.NET Core와 ASP.NET Core에는 직접 및 전이적이라는 두 가지 유형의 종속성이 있습니다. 프로젝트에 이전에 나열된 패키지 및 버전에 대한 직접 또는 전이적 종속성이 있는 경우 영향을 받습니다.
참고 항목
Core MVC에 ASP.NET 패치의 일환으로 모든 Microsoft.AspNetCore.Mvc.* 패키지를 업데이트합니다. 예를 들어 Microsoft.AspNetCore.Mvc에 대한 종속성이 있는 경우 먼저 적절한 버전으로 업데이트해야 합니다(1.0.x는 1.0.4로 업데이트되고 1.1.x는 1.1.3으로 업데이트되어야 함). 또한 다른 취약한 Microsoft.AspNetCore.Mvc 종속성도 업데이트됩니다.
.NET Core 프로젝트 형식
.NET Core에는 프로젝트를 만든 소프트웨어에 따라 두 가지 프로젝트 파일 형식이 있습니다.
- project.json .NET Core 1.0 및 Microsoft Visual Studio 2015에 포함된 원래 형식입니다.
- csproj는 Microsoft Visual Studio 2017에서 사용되는 형식입니다.
프로젝트 유형에 대한 올바른 업데이트 지침을 따라야 합니다.
직접 종속성
직접 종속성은 특별히 프로젝트에 패키지를 추가하는 종속성입니다. 예를 들어 프로젝트에 Microsoft.AspNetCore.Mvc 패키지를 추가하는 경우 Microsoft.AspNetCore.Mvc에 직접 종속됩니다.
직접 종속성은 project.json 또는 csproj 파일을 검토하여 검색할 수 있습니다.
전이적 종속성
전이적 종속성은 다른 패키지에 의존하는 패키지를 프로젝트에 추가할 때 발생합니다. 예를 들어 프로젝트에 Microsoft.AspNetCore.Mvc 패키지를 추가하는 경우 Microsoft.AspNetCore.Mvc.Core 패키지에 따라 달라집니다. 프로젝트에는 Microsoft.AspNetCore.Mvc에 대한 직접 종속성과 Microsoft.AspNetCore.Mvc.Core 패키지에 대한 전이적 종속성이 있습니다.
전이적 종속성은 검색을 지원하는 Visual Studio 솔루션 탐색기 창에서 검토하거나 프로젝트의 루트 디렉터리에 포함된 project.lock.json 파일을 검토하여 project.json 프로젝트 또는 csproj 프로젝트용 프로젝트의 obj 디렉터리에 포함된 project.assets.json 파일을 검토할 수 있습니다. 이러한 파일은 직접 및 전이적 종속성을 모두 포함하는 프로젝트에서 사용하는 모든 패키지의 신뢰할 수 있는 목록입니다.
영향을 받는 애플리케이션을 수정할 어떻게 할까요? 있나요?
직접 종속성을 모두 수정하고 전이적 종속성을 검토하고 수정해야 합니다. 이전 "영향을 받는 소프트웨어" 섹션의 영향을 받는 패키지 및 버전에는 취약한 각 패키지, 취약한 버전 및 패치된 버전이 포함됩니다.
프로젝트에서 ASP.NET Core MVC를 사용하는 경우 먼저 영향을 받는 이전 버전 테이블에 따라 Microsoft.AspNetCore.Mvc 버전을 업데이트해야 합니다. 현재 버전 1.0.0, 1.0.1, 1.0.2 또는 1.0.3을 사용하는 경우 패키지 버전을 1.0.4로 업데이트해야 합니다. 버전 1.1.0, 1.1.1 또는 1.1.2를 사용하는 경우 패키지 버전을 1.1.3으로 업데이트해야 합니다. 그러면 모든 MVC 패키지가 고정 버전으로 업데이트됩니다.
직접 종속성 수정 - project.json/VS2015
편집기에서 project.json 파일을 엽니다. 종속성 섹션을 찾습니다. 다음은 종속성 섹션 예제입니다.
"dependencies": {
"Microsoft.NETCore.App": {
"version": "1.0.1",
"type": "platform"
},
"Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
"Microsoft.AspNetCore.Mvc ": "1.0.1",
}
이 예제에는 Microsoft.NETCore.App, Microsoft.AspNetCore.Server.Kestrel 및 Microsoft.AspNetCore.Mvc의 세 가지 직접 종속성이 있습니다.
Microsoft.NetCore.App 애플리케이션이 대상으로 하는 플랫폼이므로 무시해야 합니다. 다른 패키지는 패키지 이름의 오른쪽에 해당 버전을 노출합니다. 이 예제에서 비 플랫폼 패키지는 버전 1.0.1입니다.
이전에 나열된 패키지 및 버전의 인스턴스에 대한 직접 종속성을 검토합니다. 이전 예제에서는 취약한 패키지 중 하나인 Microsoft.AspNetCore.Mvc 버전 1.0.1에 대한 직접 종속성이 있습니다.
고정 패키지로 업데이트하려면 버전 번호를 릴리스에 적합한 패키지로 변경합니다. 이 예제에서는 Microsoft.AspNetCore.Mvc를 1.0.4로 업데이트합니다.
취약한 패키지 버전을 업데이트한 후 project.json 파일을 저장합니다.
예제 project.json 종속성 섹션은 이제 다음과 같이 표시됩니다.
"dependencies": {
"Microsoft.NETCore.App": {
"version": "1.0.1",
"type": "platform"
},
"Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
"Microsoft.AspNetCore.Mvc": "1.0.4",
}
Visual Studio를 사용하고 업데이트된 project.json 파일을 저장하는 경우 Visual Studio는 새 패키지 버전을 복원합니다. 출력 창(Ctrl+Alt+O)을 열고 출력 표시를 드롭다운 목록에서 패키지 관리자 변경하여 복원 결과를 볼 수 있습니다.
Visual Studio를 사용하지 않는 경우 명령줄을 열고 프로젝트 디렉터리로 변경합니다. dotnet restore 명령을 실행하여 새 종속성을 복원합니다.
모든 직접 종속성을 해결한 후에는 전이적 종속성도 검토해야 합니다.
직접 종속성 수정 - csproj/VS2017
편집기에서 projectname.csproj 파일을 열거나 Visual Studio 2017에서 프로젝트를 마우스 오른쪽 단추로 클릭하고 콘텐츠 메뉴에서 projectname.csproj 편집을 선택합니다. 여기서 projectname은 프로젝트의 이름입니다. PackageReference 노드를 찾습니다. 다음은 예제 프로젝트 파일을 보여줍니다.
<project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.2">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>
이 예제에는 두 개의 PackageReference 요소에서 볼 수 있는 두 개의 직접 패키지 종속성이 있습니다. 패키지 이름은 Include 특성에 있으며 패키지 버전 번호는 패키지 이름 오른쪽에 노출되는 버전 특성에 있습니다. 이 예제에서는 Microsoft.AspNetCore 버전 1.1.1과 Microsoft.AspNetCore.Mvc.Core 버전 1.1.2의 두 패키지를 보여 줍니다.
이전에 나열된 패키지 및 버전의 인스턴스에 대한 PackageReference 요소를 검토합니다. 이전 예제에서는 취약한 패키지 중 하나인 Microsoft.AspNetCore.Mvc 버전 1.1.2에 대한 직접 종속성이 있습니다.
고정 패키지로 업데이트하려면 버전 번호를 릴리스에 적합한 패키지로 변경합니다. 이 예제에서는 Microsoft.AspNetCore.Mvc를 1.1.3으로 업데이트합니다.
취약한 패키지 버전을 업데이트한 후 csproj 파일을 저장합니다.
이제 csproj 예제는 다음과 같이 표시됩니다.
<project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc.Core" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>
Visual Studio를 사용하고 업데이트된 csproj 파일을 저장하는 경우 Visual Studio는 새 패키지 버전을 복원합니다. 출력 창(Ctrl+Alt+O)을 열고 출력 표시를 드롭다운 목록에서 패키지 관리자 변경하여 복원 결과를 볼 수 있습니다.
Visual Studio를 사용하지 않는 경우 명령줄을 열고 프로젝트 디렉터리로 변경합니다. dotnet restore 명령을 실행하여 새 종속성을 복원합니다.
애플리케이션을 다시 컴파일합니다.
다시 컴파일 후에 종속성 충돌 경고가 표시되는 경우 다른 직접 종속성을 적절한 버전으로 업데이트해야 합니다. 예를 들어 Microsoft.AspNetCore.Mvc 패키지를 1.0.4로 업데이트할 때 프로젝트가 버전 번호가 1.0.1인 Microsoft.AspNetCore.Routing을 참조하는 경우 컴파일이 throw됩니다.
NU1012 종속성 충돌 Microsoft.AspNetCore.Mvc.Core 1.0.4 예상 Microsoft.AspNetCore.Routing >= 1.0.4이지만 1.0.1을 받았습니다.
이 문제를 해결하려면 csproj 또는 project.json 취약한 패키지 버전을 업데이트하는 데 사용한 것과 동일한 방식으로 업데이트하여 예상 패키지의 버전을 예상 버전으로 편집합니다.
모든 직접 종속성을 해결한 후에는 전이적 종속성도 검토해야 합니다.
전이적 종속성 검토
전이적 종속성을 보는 방법에는 두 가지가 있습니다. Visual Studio의 솔루션 탐색기 사용하거나 project.lock.json(project.json/VS2015) 또는 project.assets.json(csproj/VS2017) 파일을 검토할 수 있습니다.
Visual Studio 솔루션 탐색기 사용(VS2015)
Visual Studio 2015를 사용하려면 Visual Studio 2015에서 프로젝트를 연 다음 Ctrl+를 누릅니다. 솔루션 탐색기 검색을 활성화합니다. 취약한 각 패키지 이름을 검색하고 찾은 결과의 버전 번호를 기록해 둡니다.
예를 들어 Microsoft.AspNetCore.Mvc에 대한 참조가 포함된 예제 프로젝트에서 Microsoft.AspNetCore.Mvc.Core를 검색하면 Visual Studio 2015에서 다음과 같은 결과가 표시됩니다.
그림 1: Visual Studio 2015에서 참조 검색
검색 결과가 트리로 표시됩니다. 이러한 결과에서 Microsoft.AspNetCore.Mvc, 버전 1.0.1, 취약한 버전에 대한 참조를 찾은 것을 확인할 수 있습니다.
참조 제목 아래의 첫 번째 항목은 애플리케이션에서 사용 중인 대상 프레임워크를 참조합니다. 이 작업은 다음과 같습니다. NETCoreApp, . NETStandard 또는 . 애플리케이션을 구성한 방법에 따라 NET-Framework-vX.Y.Z(여기서 X.Y.Z는 실제 버전 번호)입니다. 대상 프레임워크 아래에는 종속성을 직접 가져온 패키지 목록이 포함됩니다. 이 예제에서 애플리케이션은 Microsoft.AspNetCore.Mvc에 종속됩니다. Microsoft.AspNetCore.Mvc에는 종속성 및 해당 버전을 나열하는 리프 노드가 있습니다. 이 경우 Microsoft.AspNetCore.Mvc 패키지는 취약한 버전의 Microsoft.AspNetCore.Mvc.Core 및 다양한 다른 패키지에 종속됩니다.
수동으로 project.lock.json 검토(project.json/VS2015)
편집기에서 project.lock.json 파일을 엽니다. json을 이해하고 노드를 축소하고 확장하여 이 파일을 검토할 수 있는 편집기를 사용하는 것이 좋습니다. Visual Studio와 Visual Studio Code는 모두 이 기능을 제공합니다.
Visual Studio를 사용하는 경우 project.lock.json 파일이 project.json 파일 "아래"에 있습니다. project.json 파일의 왼쪽에 있는 오른쪽 가리키는 삼각형을 클릭하여 솔루션 트리를 확장하여 project.lock.json 파일을 노출합니다. 아래 그림 1은 project.lock.json 파일을 표시하기 위해 project.json 파일이 확장된 프로젝트를 보여줍니다.
그림 2: 파일 위치 project.lock.json
project.lock.json 파일에서 "Microsoft.AspNetCore.Mvc.Core/1.1.0" 문자열을 검색합니다. project.lock.json 파일에 이 문자열이 포함된 경우 취약한 패키지에 대한 종속성이 있습니다.
전이적 종속성 수정(project.json/VS2015)
취약한 패키지에 대한 참조를 찾지 못한 경우 이는 직접 종속성이 취약한 패키지에 종속되지 않거나 직접 종속성을 업데이트하여 문제를 이미 해결한 것을 의미합니다.
전이적 종속성 검토에서 취약한 패키지에 대한 참조를 발견한 경우 업데이트된 패키지에 직접 종속성을 project.json 파일에 추가하여 전이적 종속성을 재정의해야 합니다. project.json 열고 종속성 섹션을 찾습니다. 예시:
"dependencies": {
"Microsoft.NETCore.App": {
"version": "1.0.1",
"type": "platform"
},
"Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
"Microsoft.AspNetCore.Mvc": "1.1.0"
}
검색이 반환된 취약한 각 패키지에 대해 project.json 파일에 추가하여 업데이트된 버전에 직접 종속성을 추가해야 합니다. 이렇게 하려면 고정 버전을 참조하여 종속성 섹션에 새 줄을 추가합니다. 예를 들어 검색에 취약한 System.Net.Security 버전 4.0.0에 대한 전이적 참조가 표시된 경우 적절한 고정 버전인 4.0.1에 대한 참조를 추가합니다. 다음과 같이 project.json 파일을 편집합니다.
"dependencies": {
"Microsoft.NETCore.App": {
"version": "1.0.1",
"type": "platform"
},
"System.Net.Security": "4.0.1",
"Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
"Microsoft.AspNetCore.Mvc": "1.1.1"
}
고정 패키지에 직접 종속성을 추가한 후 project.json 파일을 저장합니다.
Visual Studio를 사용하는 경우 업데이트된 project.json 파일을 저장하고 Visual Studio는 새 패키지 버전을 복원합니다. 출력 창(Ctrl+Alt+O)을 열고 출력 표시를 드롭다운 목록에서 패키지 관리자 변경하여 복원 결과를 볼 수 있습니다.
Visual Studio를 사용하지 않는 경우 명령줄을 열고 프로젝트 디렉터리로 변경합니다. dotnet restore 명령을 실행하여 새 종속성을 복원합니다.
Visual Studio 솔루션 탐색기 사용(VS2017)
솔루션 탐색기 사용하려면 Visual Studio 2017에서 프로젝트를 연 다음 Ctrl+; 키를 눌러 솔루션 탐색기 검색을 활성화합니다. 취약한 각 패키지 이름을 검색하고 찾은 결과의 버전 번호를 기록해 둡니다.
예를 들어 Microsoft.AspNetCore.Mvc에 종속되는 패키지를 포함하는 예제 프로젝트에서 Microsoft.AspNetCore.Mvc.Core를 검색하면 Visual Studio 2017에서 다음과 같은 결과가 표시됩니다.
그림 3: Visual Studio 2017에서 참조 검색
검색 결과가 트리로 표시됩니다. 이러한 결과에서 Microsoft.AspNetCore.Mvc.Core 버전 1.1.2에 대한 참조를 찾은 것을 확인할 수 있습니다.
종속성 노드 아래에 NuGet 노드가 됩니다. NuGet 노드 아래에는 종속성을 직접 가져온 패키지 목록과 해당 버전이 포함됩니다. 이 예제에서 애플리케이션은 Microsoft.AspNetCore.Mvc에 직접 종속됩니다. Microsoft.AspNetCore.Mvc에는 종속성 및 해당 버전을 나열하는 리프 노드가 있습니다. 예제에서 Microsoft.AspNetCore.Mvc 패키지는 Microsoft.AspNetCore.Mvc.ApiExplorer 버전에 종속되며, 이 버전은 취약한 버전의 Microsoft.AspNetCore.Mvc.Core에 종속됩니다.
수동으로 project.assets.json 검토(VS2017)
편집기에서 프로젝트의 obj 디렉터리에서 project.assets.json 파일을 엽니다. json을 이해하고 노드를 축소하고 확장하여 이 파일을 검토할 수 있는 편집기를 사용하는 것이 좋습니다. Visual Studio와 Visual Studio Code는 모두 이 기능을 제공합니다.
project.assets.json 파일에서 취약한 패키지 테이블의 각 패키지 이름과 /를 검색합니다. 예를 들어 Microsoft.AspNetCore.Mvc를 찾으려면 "Microsoft.AspNetCore.Mvc/"의 검색 문자열을 사용해야 합니다. project.assets.json 파일에 이 문자열이 포함되어 있고 전체 버전 번호(검색 적중 횟수 다음의 숫자)가 이전에 나열된 취약한 버전 중 하나와 일치하는 경우 취약한 패키지에 대한 종속성이 있습니다.
전이적 종속성 수정(csproj/VS2017)
취약한 패키지에 대한 참조를 찾지 못한 경우 이는 직접 종속성이 취약한 패키지에 종속되지 않거나 직접 종속성을 업데이트하여 문제를 이미 해결한 것을 의미합니다.
전이적 종속성 검토에서 취약한 패키지에 대한 참조를 발견한 경우 csproj 파일에 업데이트된 패키지에 직접 종속성을 추가하여 전이적 종속성을 재정의해야 합니다. 편집기에서 projectname.csproj 파일을 열거나 Visual Studio 2017에서 프로젝트를 마우스 오른쪽 단추로 클릭하고 콘텐츠 메뉴에서 projectname.csproj 편집을 선택합니다. 여기서 projectname은 프로젝트의 이름입니다. PackageReference 노드를 찾습니다. 예를 들면 다음과 같습니다.
<project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>
</project>
검색이 반환된 취약한 각 패키지에 대해 csproj 파일에 추가하여 업데이트된 버전에 직접 종속성을 추가해야 합니다. 이렇게 하려면 고정 버전을 참조하여 종속성 섹션에 새 줄을 추가합니다. 예를 들어 검색에 취약한 System.Net.Security 버전 4.3.0에 대한 전이적 참조가 표시된 경우 적절한 고정 버전인 4.3.1에 대한 참조를 추가합니다.
<project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="System.Net.Security" version="4.3.1">
</packagereference><packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>
직접 종속성 참조를 추가한 후 csproj 파일을 저장합니다.
Visual Studio를 사용하는 경우 업데이트된 csproj 파일을 저장하고 Visual Studio는 새 패키지 버전을 복원합니다. 출력 창(Ctrl+Alt+O)을 열고 출력 표시를 드롭다운 목록에서 패키지 관리자 변경하여 복원 결과를 볼 수 있습니다.
Visual Studio를 사용하지 않는 경우 명령줄을 열고 프로젝트 디렉터리로 변경합니다. dotnet restore 명령을 실행하여 새 종속성을 복원합니다.
애플리케이션 다시 빌드
마지막으로 애플리케이션을 다시 빌드하고, 정상적으로 수행하는 것처럼 테스트하고, 선호하는 배포 메커니즘을 사용하여 다시 배포합니다.
기타 정보
보안 문제 보고
- .NET Core에서 잠재적인 보안 문제가 발견되면 자세한 내용을 전자 메일로 보내주세요. 보고서는 .NET Core 버그 장려금을 받을 수 있습니다. 사용 약관을 포함한 .NET Core 버그 장려금의 세부 정보는 https:에 있습니다.
MAPP(Microsoft Active Protections Program)
고객을 위한 보안 보호를 개선하기 위해 Microsoft는 매월 보안 업데이트 릴리스마다 주요 보안 소프트웨어 공급자에게 취약성 정보를 제공합니다. 보안 소프트웨어 공급자는 이 취약성 정보를 사용하여 바이러스 백신, 네트워크 기반 침입 탐지 시스템 또는 호스트 기반 침입 방지 시스템과 같은 보안 소프트웨어 또는 디바이스를 통해 고객에게 업데이트된 보호를 제공할 수 있습니다. 보안 소프트웨어 공급자로부터 활성 보호를 사용할 수 있는지 여부를 확인하려면 MAPP(Microsoft Active Protections Program) 파트너에 나열된 프로그램 파트너가 제공하는 활성 보호 웹 사이트를 방문하세요.
Feedback
- Microsoft 도움말 및 지원 양식인 고객 서비스 문의를 완료하여 피드백을 제공할 수 있습니다.
지원
- .NET Core 또는 ASP.NET Core 조직의 GitHub에서 이 문제에 대해 질문할 수 있습니다. 이러한 항목은 /https:https: 및 </https:https:>에 <있습니다.> 각 제품에 대한 알림 리포지토리(https://github.com/dotnet/Announcements 및 https://github.com/aspnet/Announcements)에는 이 권고가 문제로 포함되며 질문을 할 수 있는 토론 문제에 대한 링크가 포함됩니다.
- 미국 및 캐나다의 고객은 보안 지원에서 기술 지원을 받을 수 있습니다. 자세한 내용은 Microsoft 도움말 및 지원을 참조하세요.
- 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. 자세한 내용은 국제 지원을 참조하세요. * Microsoft TechNet Security는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.
승인
Microsoft 는 고객을 보호하기 위해 Microsoft와 협력해 주셔서 감사합니다 .
- ASP.NET 핵심 서비스 거부 취약성을 보고하기 위한 Sidertia Solutions의 David Fernandez(CVE-2017-0247)
- ASP.NET 핵심 스푸핑 취약성을 보고하기 위한 Mikhail Shcherbakov (CVE-2017-0256)
부인
이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.
수정 내용
- V1.0(2017년 5월 9일): 공지 게시됨.
- V1.1(2017년 5월 10일): 문제 CVE 및 해당 설명을 포함하도록 권고가 수정되었습니다. 이는 정보 변경에만 해당합니다.
페이지 생성 2017-05-10 13:08-07:00. </https:>