Vulnérabilité de déni de service dans .NET Framework

CVE-2022-26832

Security Vulnerability

Date de publication : 12 avr. 2022

Dernière mise à jour : 24 juin 2024

Assigning CNA: Microsoft

CVE.org link: CVE-2022-26832

Impact: Déni de service

Gravité max.: Important

CVSS Source: Microsoft

Chaîne vectorielle: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C

Metrics: CVSS:3.1 7.5 / 6.5

Metric

Value

Métriques de score de base(8)

Vecteur d’attaque

Cette métrique indique le contexte dans lequel l’exploitation de la vulnérabilité est possible. Le score de base augmente en fonction de la distance (logique et physique) d’un attaquant nécessaire pour l’exploitation du composant vulnérable.

Réseau

Le composant vulnérable est lié à la pile réseau et l’ensemble d’attaquants possibles dépasse les autres options mentionnées, jusqu’à inclure l’ensemble d’Internet. Ce type de vulnérabilité est souvent qualifié d’exploitable à distance et peut être envisagé comme une attaque exploitable au niveau du protocole à un ou plusieurs sauts réseau (sur un ou plusieurs routeurs, par exemple).

Complexité d’attaque

Cette métrique décrit les conditions que l’attaquant ne maîtrise pas et qui doivent être présentes pour que la vulnérabilité puisse être exploitée. Ces conditions peuvent nécessiter la collecte d’informations supplémentaires sur la cible ou les exceptions de calcul. L’évaluation de cette métrique exclut la nécessité d’une intervention de l’utilisateur pour permettre l’exploitation de la vulnérabilité. Si une configuration particulière est nécessaire à la réussite d’une attaque, les métriques de base doivent être évaluées en supposant que le composant vulnérable présente cette configuration.

Faible

Il n’existe aucune condition d’accès spécialisé ni aucune circonstance atténuante. Un attaquant peut s’attendre à une exploitation répétée du composant vulnérable.

Privilèges requis

Cette métrique décrit le niveau de privilèges qu’un attaquant doit avoir pour pouvoir exploiter la vulnérabilité.

Aucune

L’attaquant n’est pas autorisé avant l’attaque et ne nécessite dès lors aucun accès aux paramètres ou fichiers pour effectuer une attaque.

Intervention de l’utilisateur

Cette métrique indique la nécessité pour un utilisateur, autre que l’attaquant, de participer au piratage du composant vulnérable. Elle détermine si la vulnérabilité peut être exploitée uniquement par l’attaquant, ou si un autre utilisateur (ou un processus initié par un utilisateur) doit intervenir d’une manière ou d’une autre.

Aucune

Le système vulnérable peut être exploité sans intervention de l’utilisateur.

Étendue

Une attaque réussie a-t-elle un impact sur un autre composant que le composant vulnérable ? Le cas échéant, le score de base augmente et les métriques de confidentialité, d’intégrité et d’authentification doivent être évaluées par rapport au composant impacté.

Non modifié

Une vulnérabilité exploitée ne peut toucher que les ressources gérées par la même autorité de sécurité. Dans ce cas, le composant vulnérable et le composant impacté sont identiques ou gérés par la même autorité de sécurité.

Confidentialité

Cette métrique mesure l’impact sur la confidentialité des ressources d’informations gérées par un composant logiciel à la suite d’une vulnérabilité exploitée. La confidentialité désigne la restriction de l’accès et de la divulgation d’informations aux utilisateurs autorisés uniquement, ainsi que l’interdiction de l’accès ou de la divulgation pour les utilisateurs non autorisés.

Aucune

Il n’y a pas de perte de confidentialité dans le composant impacté.

Intégrité

Cette métrique mesure l’impact sur l’intégrité d’une vulnérabilité exploitée. L’intégrité désigne la fiabilité et la véracité des informations.

Aucune

Il n’y a pas de perte d’intégrité dans le composant impacté.

Disponibilité

Cette métrique mesure l’impact sur la disponibilité du composant impacté dû à une vulnérabilité exploitée. Elle indique la perte de disponibilité du composant impacté, comme un service en réseau (web, base de données, courrier, par exemple). La disponibilité désigne l’accessibilité de ressources d’informations. Par conséquent, les attaques qui utilisent de la bande passante du réseau, des cycles de processeur ou de l’espace disque ont un impact sur la disponibilité d’un composant impacté.

Élevé

Une perte totale de disponibilité permet à l’attaquant de refuser l’accès aux ressources dans le composant impacté. Cette perte est maintenue (pendant que l’attaquant poursuit son attaque) ou persistante (la condition persiste une fois l’attaque terminée). Sinon, l’attaquant a la possibilité de refuser des disponibilités, mais la perte de disponibilité présente une grave conséquence directe pour le composant impacté (par exemple, l’attaquant ne peut pas perturber les connexions existantes, mais peut empêcher l’établissement de nouvelles connexions ; il peut exploiter à répétition une vulnérabilité qui, dans chaque instance d’une attaque réussie, entraîne la perte d’une faible quantité de mémoire uniquement, mais qui finit par provoquer l’indisponibilité complète d’un service).

Métriques de score temporel(3)

Maturité de code malveillant

Cette métrique mesure la probabilité d’attaque de la vulnérabilité. Elle repose généralement sur l’état actuel des techniques de code malveillant, la disponibilité publique du code malveillant ou l’exploitation observée active.

Sans preuve

Aucun code malveillant accessible au public n’est disponible ou un code malveillant est théorique.

Niveau de correction

Le niveau de correction d’une vulnérabilité est un facteur important pour la détermination de la priorité. Une vulnérabilité classique n’est pas corrigée quand elle est publiée. Des solutions de contournement ou des correctifs logiciels peuvent proposer une correction temporaire applicable jusqu’à la publication d’un correctif ou d’une mise à niveau officielle. Chacune de ces étapes respectives fait baisser le score temporel pour indiquer que l’urgence diminue quand une correction est finalisée.

Correctif officiel

Une solution complète du fournisseur est disponible. Le fournisseur a publié un correctif officiel ou une mise à niveau est disponible.

Fiabilité du rapport

Cette métrique mesure le degré de fiabilité en ce qui concerne l’existence de la vulnérabilité et la crédibilité des détails techniques connus. Il peut arriver que seule l’existence d’une vulnérabilité soit rendue publique, sans détails spécifiques. Par exemple, un impact peut être reconnu comme étant indésirable, alors que la cause racine n’est pas connue. La vulnérabilité peut être corroborée ultérieurement par des recherches suggérant son origine potentielle. Enfin, une vulnérabilité peut être confirmée par reconnaissance de l’auteur ou du fournisseur de la technologie concernée. L’urgence d’une vulnérabilité est plus élevée quand elle existe avec certitude. Cette métrique suggère également le niveau de connaissances techniques disponibles pour les attaquants potentiels.

Confirmé

Il existe des rapports détaillés ou une reproduction fonctionnelle est possible (des codes malveillants fonctionnels peuvent la fournir). Le code source est disponible pour vérifier les assertions de la recherche de manière indépendante, ou l’auteur ou le fournisseur du code concerné a confirmé la présence de la vulnérabilité.

Pour plus d’informations sur la définition de ces métriques, consultez la page Common Vulnerability Scoring System.

Exploitabilité

Le tableau ci-dessous fournit une évaluation d’exploitabilité pour cette vulnérabilité lors de la publication initiale.

Publicly disclosed: No
Exploited: No
Exploitability assessment: Exploitation moins probable

Remerciements

Orange Tsai (@orange_8361) with DEVCORE

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez la page Remerciements.

Mises à jour de sécurité

Consultez le site web Politique de support Microsoft pour connaître la politique de support correspondant à votre logiciel.

Date de publication Descending

Date de publication

Produit

Plateforme

Impact

Gravité max.

Article

Télécharger

Build Number

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2

Windows 10 Version 1607 for x64-based Systems

Denial of Service

Important

5012596

Security Update

10.0.14393.5066

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2016 (Server Core installation)

Denial of Service

Important

5012596

Security Update

10.0.14393.5066

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2016

Denial of Service

Important

5012596

Security Update

10.0.14393.5066

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2

Windows 10 Version 1607 for 32-bit Systems

Denial of Service

Important

5012596

Security Update

10.0.14393.5066

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.7.2

Windows Server 2019 (Server Core installation)

Denial of Service

Important

5012328

Security Update

4.7.3930.02

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.7.2

Windows Server 2019

Denial of Service

Important

5012328

Security Update

4.7.3930.02

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.8

Windows Server 2019

Denial of Service

Important

5012328

Security Update

4.8.4494.03

12 avr. 2022

Microsoft .NET Framework 4.8

Windows Server 2016 (Server Core installation)

Denial of Service

Important

5012118

Security Update

4.8.4494.03

12 avr. 2022

Microsoft .NET Framework 4.8

Windows Server 2016

Denial of Service

Important

5012118

Security Update

4.8.4494.03

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.8

Windows Server 2019 (Server Core installation)

Denial of Service

Important

5012328

Security Update

4.8.4494.03

12 avr. 2022

Microsoft .NET Framework 4.8

Windows 10 Version 21H1 for 32-bit Systems

Denial of Service

Important

5012117

Security Update

4.8.4494.03

12 avr. 2022

Microsoft .NET Framework 4.8

Windows 10 Version 21H2 for x64-based Systems

Denial of Service

Important

5012117

Security Update

4.8.4494.03

12 avr. 2022

Microsoft .NET Framework 3.5

Windows Server 2012

Denial of Service

Important

2.0.50727.8962
2.0.50727.8962

12 avr. 2022

Microsoft .NET Framework 3.5

Windows Server 2012 (Server Core installation)

Denial of Service

Important

2.0.50727.8962
2.0.50727.8962

12 avr. 2022

Microsoft .NET Framework 3.5

Windows 8.1 for x64-based systems

Denial of Service

Important

-
2.0.50727.8962

12 avr. 2022

Microsoft .NET Framework 3.5

Windows 8.1 for 32-bit systems

Denial of Service

Important

Monthly Rollup
Security Only

-
2.0.50727.8962

12 avr. 2022

Microsoft .NET Framework 2.0 Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Denial of Service

Important

2.0.50727.8962
2.0.50727.8962

12 avr. 2022

Microsoft .NET Framework 3.0 Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Denial of Service

Important

2.0.50727.8962
2.0.50727.8962

12 avr. 2022

Microsoft .NET Framework 3.0 Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Denial of Service

Important

2.0.50727.8962
2.0.50727.8962

12 avr. 2022

Microsoft .NET Framework 4.6

Windows Server 2008 for x64-based Systems Service Pack 2

Denial of Service

Important

4.7.03930.02
4.7.3930.01

12 avr. 2022

Microsoft .NET Framework 2.0 Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Denial of Service

Important

2.0.50727.8962
2.0.50727.8962

12 avr. 2022

Microsoft .NET Framework 4.6

Windows Server 2008 for 32-bit Systems Service Pack 2

Denial of Service

Important

4.0.52732.36732
4.7.3930.01

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.7.2

Windows 10 Version 1809 for ARM64-based Systems

Denial of Service

Important

5012328

Security Update

4.7.3930.02

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.7.2

Windows 10 Version 1809 for x64-based Systems

Denial of Service

Important

5012328

Security Update

4.7.3930.02

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.7.2

Windows 10 Version 1809 for 32-bit Systems

Denial of Service

Important

5012328

Security Update

4.7.3930.02

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.8

Windows 11 version 21H2 for x64-based Systems

Denial of Service

Important

5012121

Security Update

4.8.4494.03

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.8

Windows 11 version 21H2 for ARM64-based Systems

Denial of Service

Important

5012121

Security Update

4.8.4494.03

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.8

Windows Server, version 20H2 (Server Core Installation)

Denial of Service

Important

5012117

Security Update

4.8.4494.03

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.8

Windows 10 Version 20H2 for ARM64-based Systems

Denial of Service

Important

5012117

Security Update

4.8.4494.03

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.8

Windows 10 Version 20H2 for 32-bit Systems

Denial of Service

Important

5012117

Security Update

4.8.4494.03

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.8

Windows 10 Version 1909 for 32-bit Systems

Denial of Service

Important

5012120

Security Update

4.8.4494.03

12 avr. 2022

Microsoft .NET Framework 4.8

Windows 7 for 32-bit Systems Service Pack 1

Denial of Service

Important

4.8.04494.03
4.8.4494.01

12 avr. 2022

Microsoft .NET Framework 4.8

Windows 8.1 for x64-based systems

Denial of Service

Important

4.8.04494.03
4.8.4494.01

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.8

Windows 10 Version 1909 for ARM64-based Systems

Denial of Service

Important

5012120

Security Update

4.8.4494.03

12 avr. 2022

Microsoft .NET Framework 4.5.2

Windows Server 2012 R2 (Server Core installation)

Denial of Service

Important

4.0.52730.36730
4.0.52730.3673

12 avr. 2022

Microsoft .NET Framework 3.5 AND 4.8

Windows Server 2022 (Server Core installation)

Denial of Service

Important

5012123

Security Update

4.8.4494.03

12 avr. 2022

Microsoft .NET Framework 4.8

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Denial of Service

Important

4.8.04494.03
4.8.4494.01

12 avr. 2022

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Denial of Service

Important

4.7.03930.02
4.7.3930.01

12 avr. 2022

Microsoft .NET Framework 4.5.2

Windows Server 2008 for x64-based Systems Service Pack 2

Denial of Service

Important

52732.36732
4.0.52734.36734

12 avr. 2022

Microsoft .NET Framework 4.8

Windows 10 Version 1607 for 32-bit Systems

Denial of Service

Important

5012118

Security Update

4.8.4494.03

All results loaded

Toutes les 86 lignes chargées

Clause d’exclusion de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l’état », sans garantie d’aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. Microsoft Corporation ou ses fournisseurs ne pourront en aucun cas être tenus pour responsables de tout dommage de quelque nature que ce soit, y compris les dommages directs, indirects, accessoires, consécutifs, pertes de bénéfice ou dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été prévenus de l’éventualité de tels dommages. Certains pays n’autorisent pas l’exclusion ou la limitation des responsabilités pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas être applicable.

Révisions

version

revisionDate

description

4.1

24 juin 2024

Updated the build numbers. This is an informational update only.

4.0

9 août 2022

To comprehensively address this vulnerability, Microsoft has released Monthly Rollup KB5016268 for .NET Framework 3.5 installed on Windows 8.1 and Windows Server 2012 R2. Microsoft strongly recommends that customers install the update to be fully protected from the vulnerability. Customers whose systems are configured to receive automatic updates do not need to take any further action.

3.0

14 juin 2022

In the Security Updates table, added .NET Framework 4.6.2/4.7/4.7.1/4.7.2 installed on Windows 10 version 1607, Windows Server 2016, and Windows Server 2016 (Server Core installation) as these versions of Window 10 and Windows Server with .NET Framework 4.6.2/4.7/4.7.1/4.7.2 installed are affected by this vulnerability. Customers running these versions of .NET Framework should install the April 2022 security updates to be protected from this vulnerability.

2.0

19 avr. 2022

In the Security Updates table, added .NET Framework 4.8 installed on Windows Server 2016 and Windows Server 2016 (Server Core installation), .NET Framework 3.5 and 4.7.2 intalled on Windows Server 2019 and Windows Server 2019 (Server Core installation), and .NET Framework 3.5 and 4.8 installed on Windows Server 2019 and Windows Server 2019 (Server Core installation) as these versions of Windows Server with these versions of .NET Framework installed are affected by this vulnerability. Customers running these versions of .NET Framework should install the April 2022 security updates to be protected from this vulnerability.

1.0

12 avr. 2022

Information published.

Quel est votre degré de satisfaction en ce qui concerne le guide des mises à jour de sécurité MSRC ?