Vulnérabilité de déni de service dans .NET Framework

CVE-2022-30130

Security Vulnerability

Date de publication : 10 mai 2022

Dernière mise à jour : 15 déc. 2022

Assigning CNA: Microsoft

CVE.org link: CVE-2022-30130

Impact: Déni de service

Gravité max.: Faible

CVSS Source: Microsoft

Chaîne vectorielle: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C

Metrics: CVSS:3.1 3.3 / 2.9

Metric

Value

Métriques de score de base(8)

Vecteur d’attaque

Cette métrique indique le contexte dans lequel l’exploitation de la vulnérabilité est possible. Le score de base augmente en fonction de la distance (logique et physique) d’un attaquant nécessaire pour l’exploitation du composant vulnérable.

Locale

Le composant vulnérable n’est pas lié à la pile réseau, et le chemin de l’attaquant repose sur des fonctionnalités de lecture/écriture/exécution. L’attaquant exploite la vulnérabilité en accédant au système cible localement (clavier ou console, par exemple) ou à distance (SSH, par exemple), ou il attend l’intervention d’un utilisateur lui permettant d’effectuer les actions requises pour exploiter la vulnérabilité (par exemple, inciter un utilisateur légitime à ouvrir un document malveillant).

Complexité d’attaque

Cette métrique décrit les conditions que l’attaquant ne maîtrise pas et qui doivent être présentes pour que la vulnérabilité puisse être exploitée. Ces conditions peuvent nécessiter la collecte d’informations supplémentaires sur la cible ou les exceptions de calcul. L’évaluation de cette métrique exclut la nécessité d’une intervention de l’utilisateur pour permettre l’exploitation de la vulnérabilité. Si une configuration particulière est nécessaire à la réussite d’une attaque, les métriques de base doivent être évaluées en supposant que le composant vulnérable présente cette configuration.

Faible

Il n’existe aucune condition d’accès spécialisé ni aucune circonstance atténuante. Un attaquant peut s’attendre à une exploitation répétée du composant vulnérable.

Privilèges requis

Cette métrique décrit le niveau de privilèges qu’un attaquant doit avoir pour pouvoir exploiter la vulnérabilité.

Aucune

L’attaquant n’est pas autorisé avant l’attaque et ne nécessite dès lors aucun accès aux paramètres ou fichiers pour effectuer une attaque.

Intervention de l’utilisateur

Cette métrique indique la nécessité pour un utilisateur, autre que l’attaquant, de participer au piratage du composant vulnérable. Elle détermine si la vulnérabilité peut être exploitée uniquement par l’attaquant, ou si un autre utilisateur (ou un processus initié par un utilisateur) doit intervenir d’une manière ou d’une autre.

Requise

Pour que cette vulnérabilité puisse être exploitée, un utilisateur doit effectuer une action au préalable.

Étendue

Une attaque réussie a-t-elle un impact sur un autre composant que le composant vulnérable ? Le cas échéant, le score de base augmente et les métriques de confidentialité, d’intégrité et d’authentification doivent être évaluées par rapport au composant impacté.

Non modifié

Une vulnérabilité exploitée ne peut toucher que les ressources gérées par la même autorité de sécurité. Dans ce cas, le composant vulnérable et le composant impacté sont identiques ou gérés par la même autorité de sécurité.

Confidentialité

Cette métrique mesure l’impact sur la confidentialité des ressources d’informations gérées par un composant logiciel à la suite d’une vulnérabilité exploitée. La confidentialité désigne la restriction de l’accès et de la divulgation d’informations aux utilisateurs autorisés uniquement, ainsi que l’interdiction de l’accès ou de la divulgation pour les utilisateurs non autorisés.

Aucune

Il n’y a pas de perte de confidentialité dans le composant impacté.

Intégrité

Cette métrique mesure l’impact sur l’intégrité d’une vulnérabilité exploitée. L’intégrité désigne la fiabilité et la véracité des informations.

Aucune

Il n’y a pas de perte d’intégrité dans le composant impacté.

Disponibilité

Cette métrique mesure l’impact sur la disponibilité du composant impacté dû à une vulnérabilité exploitée. Elle indique la perte de disponibilité du composant impacté, comme un service en réseau (web, base de données, courrier, par exemple). La disponibilité désigne l’accessibilité de ressources d’informations. Par conséquent, les attaques qui utilisent de la bande passante du réseau, des cycles de processeur ou de l’espace disque ont un impact sur la disponibilité d’un composant impacté.

Faible

Les performances sont diminuées ou la disponibilité des ressources subit des interruptions. Même si l’exploitation répétée de la vulnérabilité est possible, l’attaquant n’est pas en mesure de refuser le service aux utilisateurs légitimes. Les ressources du composant impacté sont partiellement disponibles en permanence ou entièrement disponibles une partie du temps. De manière générale, il n’y a aucune conséquence grave directe pour ce composant.

Métriques de score temporel(3)

Maturité de code malveillant

Cette métrique mesure la probabilité d’attaque de la vulnérabilité. Elle repose généralement sur l’état actuel des techniques de code malveillant, la disponibilité publique du code malveillant ou l’exploitation observée active.

Sans preuve

Aucun code malveillant accessible au public n’est disponible ou un code malveillant est théorique.

Niveau de correction

Le niveau de correction d’une vulnérabilité est un facteur important pour la détermination de la priorité. Une vulnérabilité classique n’est pas corrigée quand elle est publiée. Des solutions de contournement ou des correctifs logiciels peuvent proposer une correction temporaire applicable jusqu’à la publication d’un correctif ou d’une mise à niveau officielle. Chacune de ces étapes respectives fait baisser le score temporel pour indiquer que l’urgence diminue quand une correction est finalisée.

Correctif officiel

Une solution complète du fournisseur est disponible. Le fournisseur a publié un correctif officiel ou une mise à niveau est disponible.

Fiabilité du rapport

Cette métrique mesure le degré de fiabilité en ce qui concerne l’existence de la vulnérabilité et la crédibilité des détails techniques connus. Il peut arriver que seule l’existence d’une vulnérabilité soit rendue publique, sans détails spécifiques. Par exemple, un impact peut être reconnu comme étant indésirable, alors que la cause racine n’est pas connue. La vulnérabilité peut être corroborée ultérieurement par des recherches suggérant son origine potentielle. Enfin, une vulnérabilité peut être confirmée par reconnaissance de l’auteur ou du fournisseur de la technologie concernée. L’urgence d’une vulnérabilité est plus élevée quand elle existe avec certitude. Cette métrique suggère également le niveau de connaissances techniques disponibles pour les attaquants potentiels.

Confirmé

Il existe des rapports détaillés ou une reproduction fonctionnelle est possible (des codes malveillants fonctionnels peuvent la fournir). Le code source est disponible pour vérifier les assertions de la recherche de manière indépendante, ou l’auteur ou le fournisseur du code concerné a confirmé la présence de la vulnérabilité.

Pour plus d’informations sur la définition de ces métriques, consultez la page Common Vulnerability Scoring System.

Exploitabilité

Le tableau ci-dessous fournit une évaluation d’exploitabilité pour cette vulnérabilité lors de la publication initiale.

Publicly disclosed: No
Exploited: No
Exploitability assessment: Exploitation moins probable

Remerciements

Eran Zimmerman Gonen with Accenture Security Israel
Eran Zimmerman Gonen with Accenture Security Israel

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez la page Remerciements.

Mises à jour de sécurité

Consultez le site web Politique de support Microsoft pour connaître la politique de support correspondant à votre logiciel.

Date de publication Descending

Date de publication

Produit

Plateforme

Impact

Gravité max.

Article

Télécharger

Build Number

10 mai 2022

Microsoft .NET Framework 3.5 AND 4.6/4.6.2

Windows 10 for x64-based Systems

Denial of Service

Low

5021243

Security Update

10.0.10240.19624

10 mai 2022

Microsoft .NET Framework 3.5 AND 4.6/4.6.2

Windows 10 for 32-bit Systems

Denial of Service

Low

5021243

Security Update

10.0.10240.19624

10 mai 2022

Microsoft .NET Framework 4.6.2

Windows Server 2008 for x64-based Systems Service Pack 2

Denial of Service

Low

4.7.03946.07
4.7.03946.05

10 mai 2022

Microsoft .NET Framework 4.6.2

Windows Server 2008 for 32-bit Systems Service Pack 2

Denial of Service

Low

4.7.03946.07
4.7.03946.05

10 mai 2022

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012 R2 (Server Core installation)

Denial of Service

Low

4.7.03946.02
4.7.03946.03

10 mai 2022

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012 R2

Denial of Service

Low

4.7.03946.02
4.7.03946.03

10 mai 2022

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012 (Server Core installation)

Denial of Service

Low

4.7.03946.02
4.7.03946.03

10 mai 2022

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012

Denial of Service

Low

4.7.03946.02
4.7.03946.03

10 mai 2022

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Denial of Service

Low

4.7.03946.07
4.7.03946.05

10 mai 2022

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Denial of Service

Important

4.7.03946.07
4.7.03946.05

10 mai 2022

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows RT 8.1

Denial of Service

Low

5013872

Monthly Rollup

4.7.03946.02

10 mai 2022

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows 8.1 for x64-based systems

Denial of Service

Low

4.7.03946.02
4.7.03946.03

10 mai 2022

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows 8.1 for 32-bit systems

Denial of Service

Low

4.7.03946.02
4.7.03946.03

10 mai 2022

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows 7 for x64-based Systems Service Pack 1

Denial of Service

Low

4.7.03946.07
4.7.03946.05

10 mai 2022

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows 7 for 32-bit Systems Service Pack 1

Denial of Service

Low

4.7.03946.07
4.7.03946.05

All results loaded

Toutes les 15 lignes chargées

Clause d’exclusion de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l’état », sans garantie d’aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. Microsoft Corporation ou ses fournisseurs ne pourront en aucun cas être tenus pour responsables de tout dommage de quelque nature que ce soit, y compris les dommages directs, indirects, accessoires, consécutifs, pertes de bénéfice ou dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été prévenus de l’éventualité de tels dommages. Certains pays n’autorisent pas l’exclusion ou la limitation des responsabilités pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas être applicable.

Révisions

version

revisionDate

description

3.1

15 déc. 2022

The following revisions have been made: 1) Added .NET Framework 3.5 and 4.6/4.6.2 installed on Windows 10 for 32-bit Systems and Windows 10 for x65-based Systems as .NET 4.6 installed on Windows 10 is supported. 2) Removed .NET Framework 3.5 and 4.6.2 installed on Windows 10 for 32-bit Systems and Windows 10 for x65-based Systems. Microsoft strongly recommends that customers install the updates to be fully protected from the vulnerability. Customers whose systems are configured to receive automatic updates do not need to take any further action.

3.0

2 déc. 2022

In the Security Updates table made the following revisions: 1) Added .NET Framework 3.5 and 4.6.2 installed on Windows 10 for 32-bit Systems and Windows 10 for x65-based Systems as they are affected by this vulnerability. Microsoft strongly recommends that customers install the updates to be fully protected from the vulnerability. Customers whose systems are configured to receive automatic updates do not need to take any further action. 2) Removed .NET Framework 4.6 and .NET Framework 4.6.1 installed on supported editions of Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows 8.1, Windows RT 8.1, and Windows Server 2012 R2 as these versions of .NET Framework are no longer supported.

2.0

9 août 2022

To comprehensively address this vulnerability, Microsoft has released Monthly Rollup KB5016268 for .NET Framework 3.5 installed on Windows 8.1 and Windows Server 2012 R2. Microsoft strongly recommends that customers install the update to be fully protected from the vulnerability. Customers whose systems are configured to receive automatic updates do not need to take any further action.

1.0

10 mai 2022

Information published.

Quel est votre degré de satisfaction en ce qui concerne le guide des mises à jour de sécurité MSRC ?