Sicherheitsanfälligkeit in .NET Framework bezüglich Denial-of-Service
CVE-2022-26832
Security Vulnerability
Veröffentlichung: 12. Apr. 2022
Zuletzt aktualisiert: 24. Juni 2024
- Assigning CNA
- Microsoft
- CVE.org link
- CVE-2022-26832
- Auswirkung
- Denial of Service
- Maximaler Schweregrad
- Wichtig
- CVSS Source
- Microsoft
- Vektorzeichenfolge
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
- Metrics
- CVSS:3.1 7.5 / 6.5Base-Score-Metriken: 7.5/Temporal-Score-Metriken: 6.5
Metric
Value
Base-Score-Metriken(8)
Angriffsvektor
Diese Metrik spiegelt den Kontext wider, in dem eine Ausnutzung von Sicherheitsanfälligkeiten möglich ist. Der Base Score steigt, je weiter entfernt (logisch und physisch) ein Angreifer sein kann, um die von der Sicherheitanfälligkeit betroffene Komponente auszunutzen.
Netzwerk
Die von der Sicherheitsanfälligkeit betroffene Komponente ist an den Netzwerkstapel gebunden, und die Gruppe der möglichen Angreifer erstreckt sich über die übrigen aufgeführten Optionen hinaus bis hin zum gesamten Internet. Eine solche Sicherheitsanfälligkeit wird oft als „remote ausnutzbar“ bezeichnet und kann als ein Angriff betrachtet werden, dessen Ausnutzbarkeit auf der Protokollebene einen oder mehrere Netzwerksprünge entfernt ist (z. B. über einen oder mehrere Router).
Angriffskomplexität
Diese Metrik beschreibt die Bedingungen, auf die der Angreifer keinen Einfluss hat und die vorhanden sein müssen, um die Sicherheitsanfälligkeit auszunutzen. Solche Bedingungen können die Sammlung weiterer Informationen über das Ziel oder Berechnungsausnahmen erfordern. Die Bewertung dieser Metrik schließt jegliche Anforderungen an die Interaktion des Benutzers zur Ausnutzung der Sicherheitsanfälligkeit aus. Wenn für den Erfolg eines Angriffs eine bestimmte Konfiguration erforderlich ist, sind die Base-Metriken unter der Annahme zu bewerten, dass die von der Sicherheitsanfälligkeit betroffene Komponente in dieser Konfiguration vorhanden ist.
Niedrig
Spezielle Zugriffsbedingungen oder besondere Umstände liegen nicht vor. Ein Angreifer kann mit wiederholbaren Erfolgen gegen die von der Sicherheitsanfälligkeit betroffene Komponente rechnen.
Berechtigungen erforderlich
Diese Metrik beschreibt die Berechtigungsstufe, die ein Angreifer besitzen muss, bevor die Sicherheitsanfälligkeit erfolgreich ausgenutzt werden kann.
Keine
Der Angreifer ist vor dem Angriff nicht autorisiert und benötigt daher keinen Zugriff auf Einstellungen oder Dateien, um einen Angriff durchzuführen.
Benutzerinteraktion
Diese Metrik erfasst die Anforderung an einen Benutzer, der nicht der Angreifer ist, an der erfolgreichen Kompromittierung der von der Sicherheitsanfälligkeit betroffenen Komponente mitzuwirken. Diese Metrik gibt an, ob die Ausnutzung der Sicherheitsanfälligkeit vom Angreifer allein absichtlich ausgelöst werden kann, oder ob ein separater Benutzer (oder ein vom Benutzer initiierter Prozess) in irgendeiner Weise mitwirken muss.
Keine
Das von der Sicherheitsanfälligkeit betroffene System kann ohne jegliche Interaktion eines Benutzers missbraucht werden.
Umfang
Wirkt sich ein erfolgreicher Angriff auf eine andere als die von der Sicherheitsanfälligkeit betroffene Komponente aus? Wenn dies der Fall ist, erhöht sich der Base Score und die Metriken Vertraulichkeit, Integrität und Authentifizierung sind in Relation zu der betroffenen Komponente zu bewerten.
Unverändert
Eine Sicherheitsanfälligkeit, die missbraucht wird, kann nur Ressourcen betreffen, die von derselben Sicherheitsautorität verwaltet werden. In diesem Fall sind die von der Sicherheitsanfälligkeit betroffene Komponente und die betroffene Komponente entweder identisch, oder beide werden von derselben Sicherheitsautorität verwaltet.
Vertraulichkeit
Diese Metrik gibt an, wie sich eine erfolgreiche Ausnutzung einer Sicherheitsanfälligkeit auf die Vertraulichkeit der von einer Softwarekomponente verwalteten Informationsressourcen auswirkt. Vertraulichkeit umfasst die Beschränkung des Zugriffs auf und der Offenlegung von Informationen auf autorisierte Benutzer sowie die Verhinderung des Zugriffs oder der Offenlegung gegenüber Unbefugten.
Keine
Innerhalb der betroffenen Komponente tritt kein Verlust der Vertraulichkeit auf.
Integrität
Diese Metrik gibt an, welche Auswirkungen auf die Integrität sich aus der erfolgreichen Ausnutzung einer Sicherheitsanfälligkeit ergeben. Integrität umfasst die Vertrauenswürdigkeit und Richtigkeit von Informationen.
Keine
Innerhalb der betroffenen Komponente tritt kein Integritätsverlust auf.
Verfügbarkeit
Diese Metrik gibt die Auswirkungen auf die Verfügbarkeit der betroffenen Komponente an, die sich aus einer erfolgreichen Ausnutzung einer Sicherheitsanfälligkeit ergeben. Sie bezieht sich auf den Verlust der Verfügbarkeit der betroffenen Komponente selbst, wie z. B. eines vernetzten Dienstes (z. B. Internet, Datenbank, E-Mail). Da sich Verfügbarkeit auf die Zugänglichkeit von Informationsressourcen bezieht, wirken sich alle Angriffe, die Netzwerkbandbreite, Prozessorzyklen oder Speicherplatz belasten, auf die Verfügbarkeit einer betroffenen Komponente aus.
Hoch
Es kommt zu einem totalen Verlust der Verfügbarkeit, was dazu führt, dass der Angreifer in der Lage ist, den Zugang zu Ressourcen in der betroffenen Komponente vollständig zu verweigern. Dieser Verlust wird entweder erlitten (während der Angreifer den Angriff weiter ausführt) oder bleibt bestehen (der Zustand bleibt auch nach Beendigung des Angriffs bestehen). Alternativ dazu hat der Angreifer die Möglichkeit, einen Teil der Verfügbarkeit zu verweigern, wobei der Verlust der Verfügbarkeit eine direkte, schwerwiegende Konsequenz für die betroffene Komponente darstellt (z. B. kann der Angreifer bestehende Verbindungen nicht unterbrechen, aber neue Verbindungen verhindern; der Angreifer kann wiederholt eine Sicherheitsanfälligkeit ausnutzen, wobei bei jedem erfolgreichen Angriff nur eine geringe Menge an Arbeitsspeicher verloren geht, ein Dienst aber nach wiederholter Ausnutzung vollständig nicht mehr verfügbar ist).
Temporal-Score-Metriken(3)
Exploit Code Maturity
Diese Metrik gibt die Wahrscheinlichkeit eines Angriffs auf das Sicherheitsrisiko an und basiert in der Regel auf dem aktuellen Stand der Exploit-Techniken, der öffentlichen Verfügbarkeit von Exploit-Code oder dem aktiven Exploit „in freier Wildbahn“.
Nicht belegt
Es ist kein öffentlich zugänglicher Exploit-Code verfügbar, oder ein Exploit ist theoretisch.
Behebungsgrad
Der Behebungsgrad einer Sicherheitsanfälligkeit ist ein wichtiger Faktor für die Priorisierung. Für eine typische Sicherheitsanfälligkeit gibt es bei der Erstveröffentlichung keine Patches. Problemumgehungen oder Hotfixes können eine vorläufige Abhilfe bieten, bis ein offizieller Patch oder ein Upgrade herausgegeben wird. Jede dieser jeweiligen Stufen führt zu einer Anpassung des Temporal Scores nach unten, was die abnehmende Dringlichkeit mit zunehmender Wirksamkeit der Abhilfemaßnahmen widerspiegelt.
Offizieller Fix
Eine vollständige Anbieterlösung ist verfügbar. Der Anbieter hat entweder einen offiziellen Patch bereitgestellt, oder es ist ein Upgrade verfügbar.
Berichtszuverlässigkeit
Diese Metrik gibt den Grad der Gewissheit über die Existenz der Sicherheitsanfälligkeit und die Glaubwürdigkeit der bekannten technischen Details an. Manchmal wird nur das Vorhandensein von Sicherheitsanfälligkeiten öffentlich bekannt gemacht, jedoch ohne konkrete Einzelheiten. Beispielsweise kann eine Auswirkung als unerwünscht erkannt werden, aber die Grundursache ist möglicherweise nicht bekannt. Spätere Recherchen zu der Sicherheitsanfälligkeit können diese bestätigen. Sie liefern Anhaltspunkte dafür, wo die Sicherheitsanfälligkeit liegen könnte, auch wenn die Recherchen möglicherweise nicht gesichert sind. Schließlich kann eine Sicherheitsanfälligkeit durch die Bestätigung des Autors oder Anbieters der betroffenen Technologie bestätigt werden. Die Dringlichkeit einer Sicherheitsanfälligkeit ist höher, wenn bekannt ist, dass eine Sicherheitsanfälligkeit mit Sicherheit besteht. Diese Metrik gibt auch Hinweise auf das Niveau des technischen Wissens, das potentiellen Angreifern zur Verfügung steht.
Bestätigt
Es liegen ausführliche Berichte vor oder es besteht die Möglichkeit einer funktionierenden Reproduktion (funktionierende Exploits können dies ermöglichen). Der Quellcode ist verfügbar, damit die Rechercheergebnisse unabhängig bestätigt werden können, oder der Autor oder Anbieter des betroffenen Codes hat das Vorhandensein der Sicherheitsanfälligkeit bestätigt.
Weitere Informationen zur Definition dieser Metriken finden Sie unter Common Vulnerability Scoring System.
Ausnutzbarkeit
Die folgende Tabelle enthält eine Bewertung der Ausnutzbarkeit dieser Sicherheitsanfälligkeit zum Zeitpunkt der ursprünglichen Veröffentlichung.
- Publicly disclosed
- No
- Exploited
- No
- Exploitability assessment
- Ausnutzung weniger wahrscheinlich
Danksagung
- Orange Tsai (@orange_8361) with DEVCORE
Sicherheitsupdates
Besuchen Sie die Seite Microsoft Lebenszyklusinformationen, um den Supportlebenszyklus für Ihre Softwareversion oder zu ermitteln.
Veröffentlichungsdatum Descending
Produkt
Plattform
Auswirkung
Maximaler Schweregrad
Artikel
Download
Build Number
12. Apr. 2022
Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2
Windows 10 Version 1607 for x64-based Systems
Denial of Service
Important
- 10.0.14393.5066
12. Apr. 2022
Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2016 (Server Core installation)
Denial of Service
Important
- 10.0.14393.5066
12. Apr. 2022
Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2016
Denial of Service
Important
- 10.0.14393.5066
12. Apr. 2022
Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2
Windows 10 Version 1607 for 32-bit Systems
Denial of Service
Important
- 10.0.14393.5066
12. Apr. 2022
Microsoft .NET Framework 3.5 AND 4.7.2
Windows Server 2019 (Server Core installation)
Denial of Service
Important
- 4.7.3930.02
12. Apr. 2022
Microsoft .NET Framework 3.5 AND 4.7.2
Windows Server 2019
Denial of Service
Important
- 4.7.3930.02
12. Apr. 2022
Microsoft .NET Framework 3.5 AND 4.8
Windows Server 2019
Denial of Service
Important
- 4.8.4494.03
12. Apr. 2022
Microsoft .NET Framework 4.8
Windows Server 2016 (Server Core installation)
Denial of Service
Important
- 4.8.4494.03
12. Apr. 2022
Microsoft .NET Framework 4.8
Windows Server 2016
Denial of Service
Important
- 4.8.4494.03
12. Apr. 2022
Microsoft .NET Framework 3.5 AND 4.8
Windows Server 2019 (Server Core installation)
Denial of Service
Important
- 4.8.4494.03
12. Apr. 2022
Microsoft .NET Framework 3.5
Windows Server 2012
Denial of Service
Important
- 2.0.50727.8962
- 2.0.50727.8962
12. Apr. 2022
Microsoft .NET Framework 3.5
Windows Server 2012 (Server Core installation)
Denial of Service
Important
- 2.0.50727.8962
- 2.0.50727.8962
12. Apr. 2022
Microsoft .NET Framework 3.5
Windows 8.1 for x64-based systems
Denial of Service
Important
- -
- 2.0.50727.8962
12. Apr. 2022
Microsoft .NET Framework 3.5
Windows 8.1 for 32-bit systems
Denial of Service
Important
- Monthly Rollup
- Security Only
- -
- 2.0.50727.8962
12. Apr. 2022
Microsoft .NET Framework 2.0 Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Denial of Service
Important
- 2.0.50727.8962
- 2.0.50727.8962
12. Apr. 2022
Microsoft .NET Framework 3.0 Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Denial of Service
Important
- 2.0.50727.8962
- 2.0.50727.8962
12. Apr. 2022
Microsoft .NET Framework 3.0 Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Denial of Service
Important
- 2.0.50727.8962
- 2.0.50727.8962
12. Apr. 2022
Microsoft .NET Framework 4.6
Windows Server 2008 for x64-based Systems Service Pack 2
Denial of Service
Important
- 4.7.03930.02
- 4.7.3930.01
12. Apr. 2022
Microsoft .NET Framework 2.0 Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Denial of Service
Important
- 2.0.50727.8962
- 2.0.50727.8962
12. Apr. 2022
Microsoft .NET Framework 4.5.2
Windows Server 2008 for x64-based Systems Service Pack 2
Denial of Service
Important
- 52732.36732
- 4.0.52734.36734
12. Apr. 2022
Microsoft .NET Framework 4.8
Windows 10 Version 1607 for 32-bit Systems
Denial of Service
Important
- 4.8.4494.03
12. Apr. 2022
Microsoft .NET Framework 3.5 AND 4.8
Windows Server 2022
Denial of Service
Important
- 4.8.4494.03
12. Apr. 2022
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 1809 for x64-based Systems
Denial of Service
Important
- 4.8.4494.03
12. Apr. 2022
Microsoft .NET Framework 4.5.2
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Denial of Service
Important
- 4.0.52732.36732
- 4.0.52734.36734
12. Apr. 2022
Microsoft .NET Framework 4.5.2
Windows Server 2012 (Server Core installation)
Denial of Service
Important
- 4.0.52730.36730
- 4.0.52730.36730
12. Apr. 2022
Microsoft .NET Framework 4.5.2
Windows Server 2012 R2
Denial of Service
Important
- 4.0.52730.36730
- 4.0.52730.3673
12. Apr. 2022
Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Denial of Service
Important
- 4.7.03930.02
- 4.7.3930.01
12. Apr. 2022
Microsoft .NET Framework 4.5.2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Denial of Service
Important
- 4.0.52732.36732
- 4.0.52734.36734
12. Apr. 2022
Microsoft .NET Framework 4.5.2
Windows Server 2008 for 32-bit Systems Service Pack 2
Denial of Service
Important
- 4.0.52732.36732
- 4.0.52734.36734
12. Apr. 2022
Microsoft .NET Framework 4.5.2
Windows 8.1 for x64-based systems
Denial of Service
Important
- 4.0.52730.36730
- 4.0.52730.3673
12. Apr. 2022
Microsoft .NET Framework 4.5.2
Windows RT 8.1
Denial of Service
Important
- Monthly Rollup
- 4.0.52730.36730
12. Apr. 2022
Microsoft .NET Framework 4.5.2
Windows 8.1 for 32-bit systems
Denial of Service
Important
- 4.0.52730.36730
- 4.0.52730.3673
12. Apr. 2022
Microsoft .NET Framework 4.5.2
Windows 7 for x64-based Systems Service Pack 1
Denial of Service
Important
- 4.0.52732.36732
- 4.0.52734.36734
12. Apr. 2022
Microsoft .NET Framework 4.5.2
Windows 7 for 32-bit Systems Service Pack 1
Denial of Service
Important
- 4.0.52732.36732
- 4.0.52734.36734
12. Apr. 2022
Microsoft .NET Framework 3.5.1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Denial of Service
Important
- 6.1.50727.8962
- 2.0.50727.8962
12. Apr. 2022
Microsoft .NET Framework 3.5.1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Denial of Service
Important
- 6.1.50727.8962
- 2.0.50727.8962
12. Apr. 2022
Microsoft .NET Framework 3.5.1
Windows 7 for x64-based Systems Service Pack 1
Denial of Service
Important
- 6.1.50727.8962
- 2.0.50727.8962
12. Apr. 2022
Microsoft .NET Framework 3.5.1
Windows 7 for 32-bit Systems Service Pack 1
Denial of Service
Important
- 6.1.50727.8962
- 2.0.50727.8962
12. Apr. 2022
Microsoft .NET Framework 3.5
Windows Server 2012 R2 (Server Core installation)
Denial of Service
Important
- -
- 2.0.50727.8962
12. Apr. 2022
Microsoft .NET Framework 3.5
Windows Server 2012 R2
Denial of Service
Important
- -
- 2.0.50727.8962
All results loaded
Alle 86 Zeilen geladen
Haftungsausschluss
Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleichgültig, ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann die Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.
Revisionen
version
revisionDate
description
4.1
24. Juni 2024
Updated the build numbers. This is an informational update only.
4.0
9. Aug. 2022
To comprehensively address this vulnerability, Microsoft has released Monthly Rollup KB5016268 for .NET Framework 3.5 installed on Windows 8.1 and Windows Server 2012 R2. Microsoft strongly recommends that customers install the update to be fully protected from the vulnerability. Customers whose systems are configured to receive automatic updates do not need to take any further action.
3.0
14. Juni 2022
In the Security Updates table, added .NET Framework 4.6.2/4.7/4.7.1/4.7.2 installed on Windows 10 version 1607, Windows Server 2016, and Windows Server 2016 (Server Core installation) as these versions of Window 10 and Windows Server with .NET Framework 4.6.2/4.7/4.7.1/4.7.2 installed are affected by this vulnerability. Customers running these versions of .NET Framework should install the April 2022 security updates to be protected from this vulnerability.
2.0
19. Apr. 2022
In the Security Updates table, added .NET Framework 4.8 installed on Windows Server 2016 and Windows Server 2016 (Server Core installation), .NET Framework 3.5 and 4.7.2 intalled on Windows Server 2019 and Windows Server 2019 (Server Core installation), and .NET Framework 3.5 and 4.8 installed on Windows Server 2019 and Windows Server 2019 (Server Core installation) as these versions of Windows Server with these versions of .NET Framework installed are affected by this vulnerability. Customers running these versions of .NET Framework should install the April 2022 security updates to be protected from this vulnerability.
1.0
12. Apr. 2022
Information published.
Wie zufrieden sind Sie mit dem MSRC-Leitfaden für Sicherheitsupdates?