В EOL ASP.NET существует уязвимость (CVE-2024-38229), которая может привести к использованию освобожденной памяти (Use After Free) и выполн…
В EOL ASP.NET существует уязвимость (CVE-2024-38229), которая может привести к использованию освобожденной памяти (Use After Free) и выполнению произвольного кода при закрытии потока HTTP/3 во время записи в тело ответа [1]. Дополнительная информация: Эта уязвимость затрагивает ASP.NET 6.0.0 <= 6.0.36, 8.0.0 <= 8.0.8, 9.0.0-preview.1.24081.5 <= 9.0.0.RC.1. Приложения, скомпилированные для уязвимых версий, также подвержены этой уязвимости и должны быть перекомпилированы и развернуты заново. Рекомендуемые меры по исправлению: 1. **Обновление затронутых приложений:** Обновите приложения до ASP.NET Core Runtime >= 8.0.10 или ASP.NET Core Runtime >= 9.0.0.RC2. 2. **Использование коммерческого партнера:** Воспользуйтесь услугами коммерческого партнера, такого как HeroDevs, для поддержки безопасности после окончания срока службы (EOL). Источники: - [1] https://www.herodevs.com/vulnerability-directory/cve-2024-38229 - [2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38229
Продукт повторно использует или ссылается на память после её освобождения. В какой-то момент эта память может быть выделена повторно и сохранена в другом указателе, тогда как исходный указатель на освобождённую память используется вновь. Поскольку теперь по этому адресу может храниться посторонний объект, исходное использование указателя может привести к повреждению памяти или иным непреднамеренным последствиям. Если новая структура данных содержит указатель на функцию, то при исполнении может быть вызван код, контролируемый злоумышленником.
https://cwe.mitre.org/data/definitions/416.html →Открыть в коллекции CWE →