Microsoft .NET Frameworkのセキュリティ更新プログラム(2019年7月)

high Nessus プラグイン ID 126600

概要

リモートホストにインストールされているMicrosoft .NET Frameworkは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされているMicrosoft .NET Frameworkにセキュリティ更新プログラムがありません。したがって、複数の脆弱性の影響を受けます:- Windows Communication Foundation(WCF)およびWindows Identity Foundation(WIF)に認証バイパスの脆弱性があるため、任意の対称キーを使用したSAMLトークンの署名が可能になります。この脆弱性により、攻撃者が他のユーザーになりすまして、権限を昇格させる可能性があります。この脆弱性は、.NET FrameworkのWCFとWIF 3.5以降、WindowsのWIF 1.0コンポーネント、WIF Nugetパッケージ、SharePointのWIF実装にあります。認証されていない攻撃者がこれを悪用して、任意の対称鍵を使用してSAMLトークンに署名する可能性があります。このセキュリティ更新プログラムは、WCFおよびWIFのすべてのバージョンがSAMLトークンに正しく署名するために使用されるキーを検証するようにすることで、この脆弱性に対応します。(CVE-2019-1006)- .NETソフトウェアがファイルのソースマークアップをチェックできないとき、リモートでコードが実行される脆弱性がソフトウエアにあります。脆弱性の悪用に成功した攻撃者が、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるシステムを乗っ取る可能性があります。攻撃者が、完全なユーザー権限で、プログラムのインストール、データの表示・変更・削除、または新規アカウントの作成を実行する可能性があります。(CVE-2019-1113)- Microsoft Common Objectランタイムライブラリが不適切にWebリクエストを処理するとき、サービス拒否の脆弱性があります。この脆弱性の悪用に成功した攻撃者は、.NET Webアプリケーションに対するサービス拒否を引き起こす可能性があります。リモートの認証されていない攻撃者がこの脆弱性を悪用し、特別に細工されたリクエストを.NETアプリケーションに発行する可能性があります。この更新プログラムでは、.NET WebアプリケーションがWebリクエストを処理する方法が修正され、この脆弱性に対処しています。(CVE-2019-1083)

ソリューション

マイクロソフトは、Microsoft .NET Frameworkのセキュリティ更新プログラムをリリースしました。

参考資料

http://www.nessus.org/u?3bfac69e

http://www.nessus.org/u?dd6e86c0

http://www.nessus.org/u?9bd4e25a

http://www.nessus.org/u?858ef63b

http://www.nessus.org/u?0de7f142

http://www.nessus.org/u?8b8b7b50

http://www.nessus.org/u?eb25ce98

http://www.nessus.org/u?1e436e1f

http://www.nessus.org/u?2123a8a4

http://www.nessus.org/u?fef03323

http://www.nessus.org/u?ce4aeddd

http://www.nessus.org/u?8d3a86a9

http://www.nessus.org/u?f489340c

http://www.nessus.org/u?ff0c98be

http://www.nessus.org/u?7a0ad909

http://www.nessus.org/u?4741f3da

http://www.nessus.org/u?ccd5eb26

http://www.nessus.org/u?df72c2c1

http://www.nessus.org/u?dfda1841

プラグインの詳細

深刻度: High

ID: 126600

ファイル名: smb_nt_ms19_jul_dotnet.nasl

バージョン: 1.5

タイプ: local

エージェント: windows

公開日: 2019/7/10

更新日: 2021/6/3

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2019-1113

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:microsoft:.net_framework

必要な KB アイテム: SMB/MS_Bulletin_Checks/Possible

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/7/9

脆弱性公開日: 2019/7/9

参照情報

CVE: CVE-2019-1006, CVE-2019-1083, CVE-2019-1113

BID: 108977, 108981

IAVA: 2019-A-0240-S

MSFT: MS19-4506986, MS19-4506987, MS19-4506988, MS19-4506989, MS19-4506991, MS19-4507411, MS19-4507412, MS19-4507413, MS19-4507414, MS19-4507419, MS19-4507420, MS19-4507421, MS19-4507422, MS19-4507423, MS19-4507435, MS19-4507450, MS19-4507455, MS19-4507458, MS19-4507460

MSKB: 4506986, 4506987, 4506988, 4506989, 4506991, 4507411, 4507412, 4507413, 4507414, 4507419, 4507420, 4507421, 4507422, 4507423, 4507435, 4507450, 4507455, 4507458, 4507460