Microsoft .NET Frameworkのセキュリティ更新プログラム(2019年7月)
high Nessus プラグイン ID 126600
Language:
概要
リモートホストにインストールされているMicrosoft .NET Frameworkは、複数の脆弱性の影響を受けます。説明
リモートホストにインストールされているMicrosoft .NET Frameworkにセキュリティ更新プログラムがありません。したがって、複数の脆弱性の影響を受けます:- Windows Communication Foundation(WCF)およびWindows Identity Foundation(WIF)に認証バイパスの脆弱性があるため、任意の対称キーを使用したSAMLトークンの署名が可能になります。この脆弱性により、攻撃者が他のユーザーになりすまして、権限を昇格させる可能性があります。この脆弱性は、.NET FrameworkのWCFとWIF 3.5以降、WindowsのWIF 1.0コンポーネント、WIF Nugetパッケージ、SharePointのWIF実装にあります。認証されていない攻撃者がこれを悪用して、任意の対称鍵を使用してSAMLトークンに署名する可能性があります。このセキュリティ更新プログラムは、WCFおよびWIFのすべてのバージョンがSAMLトークンに正しく署名するために使用されるキーを検証するようにすることで、この脆弱性に対応します。(CVE-2019-1006)- .NETソフトウェアがファイルのソースマークアップをチェックできないとき、リモートでコードが実行される脆弱性がソフトウエアにあります。脆弱性の悪用に成功した攻撃者が、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるシステムを乗っ取る可能性があります。攻撃者が、完全なユーザー権限で、プログラムのインストール、データの表示・変更・削除、または新規アカウントの作成を実行する可能性があります。(CVE-2019-1113)- Microsoft Common Objectランタイムライブラリが不適切にWebリクエストを処理するとき、サービス拒否の脆弱性があります。この脆弱性の悪用に成功した攻撃者は、.NET Webアプリケーションに対するサービス拒否を引き起こす可能性があります。リモートの認証されていない攻撃者がこの脆弱性を悪用し、特別に細工されたリクエストを.NETアプリケーションに発行する可能性があります。この更新プログラムでは、.NET WebアプリケーションがWebリクエストを処理する方法が修正され、この脆弱性に対処しています。(CVE-2019-1083)ソリューション
マイクロソフトは、Microsoft .NET Frameworkのセキュリティ更新プログラムをリリースしました。参考資料
http://www.nessus.org/u?3bfac69e
http://www.nessus.org/u?dd6e86c0
http://www.nessus.org/u?9bd4e25a
http://www.nessus.org/u?858ef63b
http://www.nessus.org/u?0de7f142
http://www.nessus.org/u?8b8b7b50
http://www.nessus.org/u?eb25ce98
http://www.nessus.org/u?1e436e1f
http://www.nessus.org/u?2123a8a4
http://www.nessus.org/u?fef03323
http://www.nessus.org/u?ce4aeddd
http://www.nessus.org/u?8d3a86a9
http://www.nessus.org/u?f489340c
http://www.nessus.org/u?ff0c98be
http://www.nessus.org/u?7a0ad909
http://www.nessus.org/u?4741f3da
http://www.nessus.org/u?ccd5eb26
プラグインの詳細
深刻度: High
ID: 126600
ファイル名: smb_nt_ms19_jul_dotnet.nasl
バージョン: 1.5
タイプ: local
エージェント: windows
公開日: 2019/7/10
更新日: 2021/6/3
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2019-1113
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:microsoft:.net_framework
必要な KB アイテム: SMB/MS_Bulletin_Checks/Possible
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2019/7/9
脆弱性公開日: 2019/7/9
参照情報
CVE: CVE-2019-1006, CVE-2019-1083, CVE-2019-1113
IAVA: 2019-A-0240-S
MSFT: MS19-4506986, MS19-4506987, MS19-4506988, MS19-4506989, MS19-4506991, MS19-4507411, MS19-4507412, MS19-4507413, MS19-4507414, MS19-4507419, MS19-4507420, MS19-4507421, MS19-4507422, MS19-4507423, MS19-4507435, MS19-4507450, MS19-4507455, MS19-4507458, MS19-4507460
MSKB: 4506986, 4506987, 4506988, 4506989, 4506991, 4507411, 4507412, 4507413, 4507414, 4507419, 4507420, 4507421, 4507422, 4507423, 4507435, 4507450, 4507455, 4507458, 4507460