.NET Framework 서비스 거부 취약성
CVE-2023-21722
Security Vulnerability
릴리스 날짜: 2023년 2월 14일
마지막 업데이트: 2023년 3월 29일
- Assigning CNA
- Microsoft
- CVE.org link
- CVE-2023-21722
- 영향
- 서비스 거부
- 최대 심각도
- 중요
- Weakness
- CVSS Source
- Microsoft
- 벡터 문자열
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
- Metrics
- CVSS:3.1 5.0 / 4.4기본 점수 메트릭: 5.0 / 임시 점수 메트릭: 4.4
Metric
Value
기본 점수 메트릭(8)
공격 벡터
이 메트릭은 취약성 악용이 가능한 컨텍스트를 반영합니다. 기본 점수는 공격자가 취약한 구성 요소를 악용하기 위해 (논리적으로, 물리적으로) 멀리 떨어질 수 있을수록 증가합니다.
로컬
취약한 구성 요소는 네트워크 스택에 바인딩되지 않으며 공격자의 경로는 읽기/쓰기/실행 기능을 통해 이루어집니다. 공격자는 대상 시스템에 로컬(예를 들어 키보드, 콘솔) 또는 원격 (예를 들어 SSH)으로 액세스하여 취약성을 악용합니다. 또는 공격자는 다른 사람의 사용자 상호 작용에 의존하여 취약성을 악용하는 데 필요한 작업을 수행합니다(예를 들어 합법적인 사용자를 속여 악성 문서를 열도록 유도).
공격 복잡도
이 메트릭은 취약성을 악용하기 위해 반드시 있어야 하는 공격자가 제어할 수 없는 조건을 설명합니다. 이러한 조건은 대상 또는 컴퓨팅 예외에 대한 추가 정보 수집을 요구할 수 있습니다. 이 메트릭의 평가에서는 취약성을 악용하기 위한 사용자 상호 작용 요건을 제외합니다. 공격이 성공하기 위해 특정 구성이 필요한 경우 취약한 구성 요소가 구성에 있다고 가정하여 기본 메트릭에 점수를 매겨야 합니다.
낮음
특수 액세스 조건이나 부득이한 상황이 존재하지 않습니다. 공격자는 취약한 구성 요소에 대해 반복 가능한 성공을 기대할 수 있습니다.
필요한 권한
이 메트릭은 취약성을 성공적으로 악용하기 전에 공격자가 갖춰야 하는 권한 수준을 설명합니다.
낮음
공격자는 일반적으로 사용자가 소유한 설정 및 파일에만 영향을 미칠 수 있는 기본 사용자 기능을 제공하는 권한을 부여받습니다(즉, 요청합니다). 또는 낮은 권한을 가진 공격자는 민감하지 않은 리소스에만 영향을 줄 수 있습니다.
사용자 상호 작용
이 메트릭은 공격자가 아닌 사용자가 취약한 구성 요소의 성공적인 손상에 참여하기 위한 요건을 포착합니다. 이 메트릭은 취약성이 공격자의 의지만으로 악용될 수 있는지 또는 별도의 사용자(또는 사용자가 시작한 프로세스)가 어떤 방식으로든 참여해야 하는지 여부를 결정합니다.
필수 항목
이 취약성을 성공적으로 악용하려면 취약성을 악용하기 전에 사용자가 몇 가지 조치를 취해야 합니다.
범위
성공적인 공격이 취약한 구성 요소가 아닌 다른 구성 요소에 영향을 미치나요? 만약 그렇다면 기본 점수가 높아지고 기밀성, 무결성 및 인증 메트릭은 영향을 받는 구성 요소를 기준으로 점수를 매겨야 합니다.
변경되지 않음
악용된 취약성은 동일한 보안 기관에서 관리하는 리소스에만 영향을 미칠 수 있습니다. 이 경우 취약한 구성 요소와 영향을 받는 구성 요소가 같거나 동일한 보안 기관에서 둘 다 관리합니다.
기밀성
이 메트릭은 성공적으로 악용된 취약성으로 인해 소프트웨어 구성 요소가 관리하는 정보 리소스의 기밀성에 미치는 영향을 측정합니다. 기밀성이란 정보 액세스 및 공개를 권한이 있는 사용자만으로 제한하고, 권한이 없는 사용자에게는 액세스 및 공개를 막는 것을 말합니다.
없음
영향을 받는 구성 요소 내의 기밀성에는 영향이 없습니다.
무결성
이 메트릭은 공격이 성공한 취약성의 무결성에 미치는 영향을 측정합니다. 무결성이란 정보의 신뢰성과 정확성을 말합니다.
없음
영향을 받는 구성 요소 내의 무결성에는 아무런 손실이 없습니다.
가용성
이 메트릭은 성공적으로 악용된 취약성으로 인해 영향을 받는 구성 요소의 가용성에 미치는 영향을 측정합니다. 네트워크 서비스(예를 들어 웹, 데이터베이스, 전자 메일)와 같이 영향을 받는 구성 요소 자체의 가용성 손실을 말합니다. 가용성은 정보 리소스의 접근성을 의미하므로 네트워크 대역폭, 프로세서 주기 또는 디스크 공간을 소모하는 공격은 영향을 받는 구성 요소의 가용성에 모두 영향을 미칩니다.
높음
가용성이 완전히 손실되어 공격자가 영향을 받는 구성 요소의 리소스에 대한 액세스를 완전히 거부할 수 있습니다. 이 손실은 (공격자가 공격을 계속 전달하는 동안) 지속되거나 영구적입니다(공격이 완료된 후에도 상태가 지속됩니다). 또는 공격자가 가용성의 일부를 거부할 수 있는데 이 가용성 손실이 영향을 받는 구성 요소에 직접적이고 심각한 결과를 초래합니다(예를 들어, 공격자가 기존 연결을 중단할 수 없지만 새로운 연결을 차단할 수 있음, 공격자는 반복적으로 취약성을 악용할 수 있으며 공격이 성공할 때마다 적은 양의 메모리만 누출되지만 반복적으로 악용되면 서비스를 완전히 사용할 수 없게 됨).
임시 점수 메트릭(3)
익스플로잇 코드 완성도
이 메트릭은 취약성이 공격받을 가능성을 측정한 것이며, 일반적으로 악용 기술의 현재 상태, 악용 코드의 공개 가용성 또는 활성 상태의 '실제(in-the-wild)' 공격을 기반으로 합니다.
증명되지 않음
공개적으로 사용 가능한 익스플로잇 코드가 없거나 익스플로잇이 이론적으로 존재합니다.
교정 수준
취약성의 수정 수준은 우선 순위를 지정하는 데 중요한 요소입니다. 일반적인 취약성은 처음 게시될 때 패치되지 않습니다. 공식 패치 또는 업그레이드가 발표될 때까지 임시 해결 방법 또는 핫픽스가 제공될 수 있습니다. 이러한 각 단계는 교정이 최종화됨에 따라 감소하는 긴급성을 반영하여 임시 점수를 하향 조정합니다.
공식적인 수정
완전한 공급 업체 솔루션을 이용할 수 있습니다. 공급 업체가 공식적인 패치를 발행했거나 업그레이드를 할 수 있습니다.
보고 신뢰도
이 메트릭은 취약성의 존재에 대한 자신감의 정도와 알려진 기술적 세부 사항의 신뢰도를 측정합니다. 때로는 구체적인 세부사항 없이 취약성의 존재만 공개됩니다. 예를 들어, 영향은 바람직하지 않은 것으로 인식되나 근본 원인을 알 수 없는 경우가 있습니다. 이 취약성은 나중에 연구에 의해 확증될 수 있으며, 연구는 확실하지 않지만 취약성이 어디에 있을 수 있는지 제시합니다. 마지막으로, 영향을 받는 기술의 작성자 또는 공급 업체의 승인을 통해 취약성을 확인할 수 있습니다. 취약성이 확실하게 존재하는 것으로 알려진 경우 취약성의 긴급성은 더 높아집니다. 또한 이 메트릭은 공격자가 될 가능성이 있는 기술 지식 수준을 제시합니다.
확인됨
상세 보고서가 존재하거나, 기능 재현이 가능합니다(기능 익스플로잇 이를 제공할 수 있음). 소스 코드를 사용하여 조사의 주장을 독립적으로 확인하거나 영향을 받는 코드의 작성자 또는 공급업체가 취약성이 존재함을 확인했습니다.
이러한 메트릭의 정의에 관한 자세한 내용은 CVSS(Common Vulnerability Scoring System)를 참조하세요.
악용 가능성
다음 표는 원본 게시 당시의 이 취약성에 대한 악용 가능성 평가를 제공합니다.
- Publicly disclosed
- No
- Exploited
- No
- Exploitability assessment
- 악용 가능성 낮음
FAQ
CVSS 메트릭에 따르면 필요한 권한은 낮음(PR:L)입니다. 그것이 이 취약성에 대해 갖는 의미는 무엇인가요?
인증된 모든 공격자가 이 취약성을 유발할 수 있습니다. 관리자 또는 기타 높은 권한이 필요하지 않습니다.
CVSS 스코어에 따르면, 공격 벡터는 로컬입니다(AV:L). 왜 CVE 제목에서 이것을 서비스 거부로 표시하고 있나요?
공격 자체가 로컬로 이루어집니다. 예를 들어, 스코어가 공격 벡터를 로컬로 사용자 상호 작용을 필요로 표시하면, 이는 공격자가 소셜 엔지니어링을 통해 공격 대상자가 웹 사이트에서 특별히 조작된 파일을 다운로드하고 열도록 속이는 익스플로잇을 설명할 수 있습니다. 이로 인해 공격 대상자의 컴퓨터에 로컬 공격이 발생하여 서비스 거부가 발생할 수 있습니다.
승인
- Filip Dragovic with Infigo IS
보안 업데이트
사용 중인 소프트웨어에 대한 지원 수명 주기를 확인하려면 Microsoft 지원 수명 주기를 참조하세요.
출시 날짜 Descending
제품
플랫폼
영향
최대 심각도
문서
다운로드
Build Number
2023년 2월 14일
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2012 R2
Denial of Service
Important
- 4.7.04038.03
- 4.7.04038.02
2023년 2월 14일
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2012 (Server Core installation)
Denial of Service
Important
- 4.7.04038.03
- 4.7.04038.02
2023년 2월 14일
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2012
Denial of Service
Important
- 4.7.04038.03
- 4.7.04038.02
2023년 2월 14일
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Denial of Service
Important
- 4.7.04614.08
- 4.7.04038.05
2023년 2월 14일
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Denial of Service
Important
- 4.7.04614.08
- 4.7.04038.05
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.7.2
Windows Server 2019 (Server Core installation)
Denial of Service
Important
- 10.0.04038.03
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.7.2
Windows Server 2019
Denial of Service
Important
- 10.0.04038.03
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.7.2
Windows 10 Version 1809 for ARM64-based Systems
Denial of Service
Important
- 10.0.04038.03
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.7.2
Windows 10 Version 1809 for x64-based Systems
Denial of Service
Important
- 10.0.04038.03
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.7.2
Windows 10 Version 1809 for 32-bit Systems
Denial of Service
Important
- 10.0.04038.03
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 21H2 for x64-based Systems
Denial of Service
Important
- 10.0.04614.06
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 21H2 for ARM64-based Systems
Denial of Service
Important
- 10.0.04614.06
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 21H2 for 32-bit Systems
Denial of Service
Important
- 10.0.04614.06
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 22H2 for x64-based Systems
Denial of Service
Important
- 10.0.04614.06
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.7.2
Windows Server 2016
Denial of Service
Important
- 10.0.14393.5717
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 22H2 for x64-based Systems
Denial of Service
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.7.2
Windows 10 Version 1607 for 32-bit Systems
Denial of Service
Important
- 10.0.14393.5717
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows Server 2016
Denial of Service
Important
- 10.0.04614.05
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.7.2
Windows Server 2016 (Server Core installation)
Denial of Service
Important
- 10.0.14393.5717
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 1607 for x64-based Systems
Denial of Service
Important
- 10.0.04614.05
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 22H2 for ARM64-based Systems
Denial of Service
Important
- 10.0.04614.06
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 22H2 for 32-bit Systems
Denial of Service
Important
- 10.0.04614.06
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.7.2
Windows 10 Version 1607 for x64-based Systems
Denial of Service
Important
- 10.0.14393.5717
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows Server 2016 (Server Core installation)
Denial of Service
Important
- 10.0.04614.05
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 1607 for 32-bit Systems
Denial of Service
Important
- 10.0.04614.05
2023년 2월 14일
Microsoft .NET Framework 2.0 Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Denial of Service
Important
- 2.0.50727.8966
- 2.0.04038.05
2023년 2월 14일
Microsoft .NET Framework 2.0 Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Denial of Service
Important
- 2.0.50727.8966
- 2.0.04038.05
2023년 2월 14일
Microsoft .NET Framework 3.5 and 4.6.2
Windows 10 for x64-based Systems
Denial of Service
Important
- 10.0.10240.19747
2023년 2월 14일
Microsoft .NET Framework 3.5 and 4.6.2
Windows 10 for 32-bit Systems
Denial of Service
Important
- 10.0.10240.19747
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 21H2 for x64-based Systems
Denial of Service
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 21H2 for ARM64-based Systems
Denial of Service
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 21H2 for 32-bit Systems
Denial of Service
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 11 version 21H2 for ARM64-based Systems
Denial of Service
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 11 version 21H2 for x64-based Systems
Denial of Service
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 20H2 for ARM64-based Systems
Denial of Service
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 20H2 for 32-bit Systems
Denial of Service
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows Server 2022 (Server Core installation)
Denial of Service
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows Server 2022
Denial of Service
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2012 R2 (Server Core installation)
Denial of Service
Important
- 4.7.04038.03
- 4.7.04038.02
2023년 2월 14일
Microsoft .NET Framework 4.6.2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Denial of Service
Important
- 4.7.04038.06
- 4.7.4038.05
All results loaded
모든 71 행을 로드함
고지 사항
Microsoft 기술 자료에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성과 특정 목적에 대한 적합성의 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실 또는 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation 또는 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 지역에서는 파생적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다.
수정 내역
version
revisionDate
description
2.0
2023년 3월 29일
Microsoft has rereleased KB5022498 to address a known issue where customers who installed the .NET Framework 4.8 February cumulative update (KB5022502), then updgraded to .NET Framework 4.8.1 and subsequently scanned for updates were unable to install KB5022498. Customers who were unable to install KB5022498 should rescan for updates and install the update. Customers who have already successfully installed KB5022498 do not need to take any further action.
1.1
2023년 3월 23일
Updated one or more CVSS scores for the affected products. This is an informational change only.
1.0
2023년 2월 14일
Information published.
MSRC 보안 업데이트 가이드에 얼마나 만족하십니까?