2024年3月4日 星期一

[研究]OWASP Dependency-Track 報告 System.Security.Cryptography.X509Certificates 4.3.2 有弱點 CVE-2024-0057

[研究]OWASP Dependency-Track 報告 System.Security.Cryptography.X509Certificates 4.3.2 有弱點

2024-03-04


CVE-2024-0057 10 Jan 2024

CVSS Base Score : 9.8

CVSS Impact Subscore : 5.9

CVSS Exploitability Subscore : 3.9

References


.NET、.NET Framework 和 Visual Studio 安全性功能略過弱點 Recently updated

CVE-2024-0057
安全性弱點
發行日期: 2024年1月9日、上次更新:2024年2月13日
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-0057

CVE-2024-0057 .NET Vulnerability in NetApp Products
https://security.netapp.com/advisory/ntap-20240208-0007/

攻擊者如何利用此漏洞?

攻擊者可以透過建立特製的 X.509 憑證來利用此漏洞,故意引入或故意引發鏈建置失敗。

成功利用此漏洞可以繞過什麼樣的安全功能?

當基於 Microsoft .NET Framework 的應用程式使用 X.509 鏈建立 API 但由於邏輯缺陷而未完全驗證 X.509 憑證時,存在安全功能繞過漏洞。攻擊者可以提供帶有格式錯誤的簽名的任意不受信任的證書,從而觸發框架中的錯誤。該框架將正確報告 X.509 鏈建置失敗,但會傳回錯誤的失敗原因程式碼。利用此原因程式碼做出自己的鏈建構信任決策的應用程式可能會無意中將此場景視為成功的鏈建構。這可能允許對手破壞應用程式的典型身份驗證邏輯。

CWE-20: Improper Input Validation
https://cwe.mitre.org/data/definitions/20

NuGet 上 System.Security.Cryptography.X509Certificates 4.3.2 已經是最新版
https://www.nuget.org/packages/system.security.cryptography.x509certificates/


因為 'System.Net.Http.4.3.4' 相依於它,所以無法解除安裝 'System.Security.Cryptography.X509Certificates.4.3.2'。


用 NuGet 把 System.Net.Http 移除後,編譯會出錯

error CS1069: 命名空間 'System.Net.Http' 中找不到類型名稱 'HttpClient'。此類型已轉送到組件 'System.Net.Http, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a',請考慮加入該組件的參考。

(完)

沒有留言:

張貼留言