Atualizações de julho de 2020 do .NET Core - 2.1.20 e 3.1.6

A atualização de julho do .NET Core foi lançada na semana passada. Ele contém correções de segurança e melhorias de confiabilidade. Consulte as notas de versão individuais para obter detalhes sobre os pacotes atualizados. Este artigo resume as melhorias de segurança coletivamente.

Segurança

Vulnerabilidade CVE-2020-1147: Vulnerabilidade de execução remota de código do .NET Core A



Microsoft está lançando este comunicado de segurança para fornecer informações sobre a vulnerabilidade do .NET Core. Este guia também fornece orientação sobre o que os desenvolvedores podem fazer para atualizar seus aplicativos para lidar com essa vulnerabilidade.



A Microsoft está ciente de uma vulnerabilidade de execução remota de código no software .NET, em que o software não pode validar a marcação original de um arquivo XML. Um invasor que explorar com êxito esta vulnerabilidade pode executar código arbitrário no contexto do usuário atual.



Um invasor remoto não autenticado pode explorar essa vulnerabilidade, enviando solicitações especialmente criadas para um aplicativo ASP.NET Core ou outro aplicativo que analisa certos tipos de XML.



A atualização de segurança elimina a vulnerabilidade, limitando os tipos que podem estar presentes em uma carga XML.

Atualize

• .NET Core 3.1.6 e .NET Core SDK (  download  |  Notas de versão  )
• .NET Core 2.1.20 e .NET Core SDK (  download  |  Notas de versão  )

Consulte as notas de versão do .NET Core para obter detalhes sobre a versão, incluindo as correções e problemas levantados.



As atualizações mais recentes do .NET Core estão disponíveis na página de download do .NET Core.

Imagens Docker

As imagens do .NET Docker também foram atualizadas. Os seguintes repositórios foram atualizados:

• dotnet / core / sdk : SDK do .NET Core
• dotnet / core / aspnet : ASP.NET Core Runtime
• dotnet / core / runtime : .NET Core Runtime
• dotnet / core / runtime-deps : Dependências de tempo de execução do .NET Core
• dotnet / core / samples : Amostras do .NET Core

Observação: para obter essa atualização, você deve obter as imagens de contêiner do .NET Core atualizadas com docker pull ou docker build --pull.

Estúdio visual

Esta atualização será incluída em uma atualização futura do Visual Studio.



Cada versão do Visual Studio é compatível apenas com esta versão do .NET Core SDK. As informações de versão do Visual Studio estão incluídas nas páginas de download do .NET Core SDK e nas notas de versão. Se você não estiver usando o Visual Studio, recomendamos o uso do SDK mais recente.