信息來源：51CTO

3月10日微軟發布安全公告，通報了.NET架構組件System.Text.Encodings.Web遠程執行漏洞。影響范圍包括NET 5.0，.NET Core 3.1和.NET Core 2.1。

由于執行文本編碼的方式，.NET 5和.NET Core中存在一個遠程執行代碼漏洞。

緩解方法

Microsoft尚未發現此漏洞的任何緩解因素。

影響范圍

該漏洞影響的程序包是System.Text.Encodings.Web。升級軟件包并重新部署應用程序，以解決問題。 目前對應的安全版本為4.5.1,4.7.7和5.0.1。

基于.NET 5，.NET Core或.NET Framework，使用System.Text.Encodings.Web程序包發布的人任何的應用程序。

注意，.NET Core 3.0已停止支持，所有應用程序都應更新為3.1。

漏洞檢測

漏洞可以根據當前使用的版本來檢測，列出的版本的運行時或SDK，對比上面列出的受影響的版本范圍。通過cmd運行dotnet --info命令列出已安裝的版本命令,命令輸出類似以下信息。

1. .NET SDK (反映任何 global.json): 
2. Version: 5.0.201 
3. Commit: a09bd5c86c 
4. 運行時環境: 
5. OS Name: Windows 
6. OS Version: 10.0.18362 
7. OS Platform: Windows 
8. RID: win10-x64 
9. Base Path: C:\Program Files\dotnet\sdk\5.0.201\ 
10. Host (useful for support): 
11. Version: 5.0.4 
12. Commit: f27d337295 
13. .NET SDKs installed: 
14. 5.0.201 [C:\Program Files\dotnet\sdk] 
15. .NET runtimes installed: 
16. Microsoft.AspNetCore.App 5.0.4 [C:\Program Files\dotnet\shared\Microsoft.AspNetCore.App] 
17. Microsoft.NETCore.App 5.0.4 [C:\Program Files\dotnet\shared\Microsoft.NETCore.App] 
18. Microsoft.WindowsDesktop.App 5.0.4 [C:\Program Files\dotnet\shared\Microsoft.WindowsDesktop.App] 

漏洞解決

要解決此問題，需要安裝的.NET 5.0，.NET Core 3.1或.NET Core 2.1的最新版本。如果Visual Studio中安裝了一個或多個.NET Core SDK，VS會提示更新Visual Studio，還會自動更新.NET Core SDK。

• 對于.NET 5.0，請下載并安裝Runtime 5.0.4或SDK 5.0.104(適用于Visual Studio 2019 v16.8) 。
• 對.NET Core 3.1，則應下載并安裝Runtime 3.1.13或SDK 3.1.113(適用于Visual Studio 2019 v16.4)或3.1.406(適用于Visual Studio 2019 v16.5或更高版本)
• 對.NET Core 2.1，則應下載并安裝Runtime 2.1.26或SDK 2.1.522(適用于Visual Studio 2019 v15.9)或2.1.814。

Microsoft Update也提供.NET 5.0，.NET Core 3.1和.NET Core 2.1更新。要訪問此文件，請在Windows搜索中鍵入“檢查更新”，或打開“設置”，選擇“更新和安全性”，然后單擊“檢查更新”。

安裝更新的運行時或SDK后，請重新啟動應用程序以使更新生效。

對于已部署的獨立的應用程序，針對任何受影響的版本 ，則這些應用程序也容易受到攻擊,必須重新編譯和重新部署。