本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

KLA11133
Microsoft開発ツールの複数の脆弱性
更新日: 07/05/2018
検出日
?
11/15/2017
危険度
?
警告
説明

Microsoft .NETコアおよびASP.NETコアに複数の深刻な脆弱性が存在します。悪意のあるユーザーは、これらの脆弱性を利用してサービス拒否を引き起こし、機密情報を取得し、特権を得ることができます。

以下に、脆弱性の完全な一覧を示します。

  1. 証明書データの不適切な取り扱いは、サービス拒否を引き起こすために特別に細工された証明書を.NET Coreアプリケーションに提供することにより、リモートから悪用される可能性があります。
  2. オープンリダイレクトの脆弱性は、特権を得るために特別に細工されたURLを介してリモートから悪用される可能性があります。
  3. Web要求の不適切な処理は、サービス拒否を引き起こすためにASP.NET Core Webアプリケーションに対する特別な細工された要求を介してリモートから悪用される可能性があります。
  4. クロスオリジンリソースシェアリング(CORS)構成をバイパスすることの可能性は、センシティブな情報を得るために遠隔で利用することができます。

技術的な詳細

脆弱性(1)は、.NET Core 1.0,1.1、および2.0のみに影響します。

脆弱性(2)はASP.NET Core 2.0のみに影響します

脆弱性(3)は、ASP.NET Core 1.0,1.1,2.0にのみ影響します。

脆弱性(4)は、ASP.NET Core 1.0,1.1にのみ影響します。

影響を受ける製品

.NET Core 1.0
.NET Core 1.1
.NET Core 2.0
ASP.NET Core 2.0
ASP.NET Core 1.0
ASP.NET Core 1.1

解決法

最新バージョンへのアップデート

オリジナル勧告

CVE-2017-11770
CVE-2017-11879
CVE-2017-11883
CVE-2017-8700

影響
?
OSI 
[?]

PE 
[?]

DoS 
[?]
関連製品
Microsoft ASP.NET MVC
Microsoft .NET Framework
Adobe Reader XI
Adobe Reader
Adobe Acrobat XI
Adobe Acrobat Reader DC Continuous
Adobe Acrobat Reader DC Classic
Adobe Acrobat DC Continuous
Adobe Acrobat DC Classic
Adobe Acrobat
CVE-IDS
?

CVE-2017-8700
CVE-2017-11883
CVE-2017-11879
CVE-2017-11770

Microsoftの公式アドバイザリ
CVE-2017-11770
CVE-2017-11879
CVE-2017-11883
CVE-2017-8700

オリジナルへのリンク