Microsoft安全公告CVE-2025-55248:.NET信息泄露漏洞
漏洞详情
严重程度:中等
CVSS评分:5.7
执行摘要
微软发布此安全公告,旨在提供有关.NET 8.0和.NET 9.0中一个漏洞的信息。该公告还指导开发人员如何更新其应用程序以消除此漏洞。
中间人(MITM)攻击者可能阻止客户端和SMTP服务器之间使用TLS,强制客户端通过未加密的连接发送数据。
公告
缓解因素
微软尚未确定此漏洞的任何缓解因素。
受影响软件
- 任何运行在.NET 8.0.20或更早版本上的.NET 8.0应用程序
- 任何运行在.NET 9.0.9或更早版本上的.NET 9.0应用程序
受影响包
如果任何Microsoft .NET项目使用下面列出的任何受影响包版本,则该漏洞会影响该项目。
.NET 9
| 包名称 | 受影响版本 | 修补版本 |
|---|---|---|
| Microsoft.NetCore.App.Runtime.linux-arm | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.linux-arm64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.linux-musl-arm | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.linux-musl-arm64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.linux-musl-x64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.linux-x64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.osx-arm64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.osx-x64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.win-arm | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.win-arm64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.win-x64 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
| Microsoft.NetCore.App.Runtime.win-x86 | >= 9.0.0, <= 9.0.9 | 9.0.10 |
.NET 8
| 包名称 | 受影响版本 | 修补版本 |
|---|---|---|
| Microsoft.NetCore.App.Runtime.linux-arm | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.linux-arm64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.linux-musl-arm | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.linux-musl-arm64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.linux-musl-x64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.linux-x64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.osx-arm64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.osx-x64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.win-arm | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.win-arm64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.win-x64 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
| Microsoft.NetCore.App.Runtime.win-x86 | >= 8.0.0, <= 8.0.20 | 8.0.21 |
公告常见问题解答
如何知道我是否受到影响?
如果您有一个列出版本的运行时,或者受影响软件或受影响包中列出的受影响包,则您将面临此漏洞的风险。
如何修复此问题?
要修复此问题,请安装相应版本的.NET 9.0或.NET 8.0的最新版本。如果您通过Visual Studio安装了一个或多个.NET SDK,Visual Studio将提示您更新Visual Studio,这也将更新您的.NET SDK。
如果您的应用程序引用了易受攻击的包,请将包引用更新到修补版本。
您可以通过运行dotnet --info命令列出已安装的版本。您将看到类似以下的输出:
|
|
如果您正在使用.NET 8.0,应从https://dotnet.microsoft.com/download/dotnet-core/8.0下载并安装.NET 8.0.21运行时或.NET 8.0.318 SDK(适用于Visual Studio 2022 v17.10最新更新)。
如果您正在使用.NET 9.0,应从https://dotnet.microsoft.com/download/dotnet-core/9.0下载并安装.NET 9.0.10运行时或.NET 9.0.111 SDK(适用于Visual Studio 2022 v17.12最新更新)。
安装更新的运行时或SDK后,重新启动应用程序以使更新生效。
此外,如果您部署了针对任何受影响版本的自包含应用程序,这些应用程序也容易受到攻击,必须重新编译和重新部署。
其他信息
报告安全问题
如果您在.NET 9.0或.NET 8.0中发现了潜在的安全问题,请将详细信息发送至secure@microsoft.com。报告可能符合Microsoft .NET Core & .NET 5赏金计划的条件。Microsoft .NET赏金计划的详细信息(包括条款和条件)位于https://aka.ms/corebounty。
支持
您可以在GitHub的.NET GitHub组织中询问有关此问题的问题。主要仓库位于https://github.com/dotnet/runtime。公告仓库(https://github.com/dotnet/Announcements)将包含此公告作为问题,并将包含指向讨论问题的链接。您可以在链接的讨论问题中提问。
免责声明
本公告中提供的信息"按原样"提供,不附带任何类型的保证。Microsoft否认所有明示或暗示的保证,包括适销性和特定用途适用性的保证。在任何情况下,Microsoft Corporation或其供应商均不对任何损害承担责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使Microsoft Corporation或其供应商已被告知可能发生此类损害。有些州不允许排除或限制附带或后果性损害的责任,因此上述限制可能不适用。
外部链接
修订
- V1.0(2025年10月14日):公告发布。
技术详情
CVSS v3基本指标:AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
弱点:CWE-326 加密强度不足
EPSS评分:0.012%(第1百分位)