.NET 및 Visual Studio 원격 코드 실행 취약성
CVE-2023-21808
Security Vulnerability
릴리스 날짜: 2023년 2월 14일
마지막 업데이트: 2023년 6월 30일
- Assigning CNA
- Microsoft
- CVE.org link
- CVE-2023-21808
- 영향
- 원격 코드 실행
- 최대 심각도
- 중요
- Weakness
- CVSS Source
- Microsoft
- 벡터 문자열
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
- Metrics
- CVSS:3.1 7.8 / 6.8기본 점수 메트릭: 7.8 / 임시 점수 메트릭: 6.8
Metric
Value
기본 점수 메트릭(8)
공격 벡터
이 메트릭은 취약성 악용이 가능한 컨텍스트를 반영합니다. 기본 점수는 공격자가 취약한 구성 요소를 악용하기 위해 (논리적으로, 물리적으로) 멀리 떨어질 수 있을수록 증가합니다.
로컬
취약한 구성 요소는 네트워크 스택에 바인딩되지 않으며 공격자의 경로는 읽기/쓰기/실행 기능을 통해 이루어집니다. 공격자는 대상 시스템에 로컬(예를 들어 키보드, 콘솔) 또는 원격 (예를 들어 SSH)으로 액세스하여 취약성을 악용합니다. 또는 공격자는 다른 사람의 사용자 상호 작용에 의존하여 취약성을 악용하는 데 필요한 작업을 수행합니다(예를 들어 합법적인 사용자를 속여 악성 문서를 열도록 유도).
공격 복잡도
이 메트릭은 취약성을 악용하기 위해 반드시 있어야 하는 공격자가 제어할 수 없는 조건을 설명합니다. 이러한 조건은 대상 또는 컴퓨팅 예외에 대한 추가 정보 수집을 요구할 수 있습니다. 이 메트릭의 평가에서는 취약성을 악용하기 위한 사용자 상호 작용 요건을 제외합니다. 공격이 성공하기 위해 특정 구성이 필요한 경우 취약한 구성 요소가 구성에 있다고 가정하여 기본 메트릭에 점수를 매겨야 합니다.
낮음
특수 액세스 조건이나 부득이한 상황이 존재하지 않습니다. 공격자는 취약한 구성 요소에 대해 반복 가능한 성공을 기대할 수 있습니다.
필요한 권한
이 메트릭은 취약성을 성공적으로 악용하기 전에 공격자가 갖춰야 하는 권한 수준을 설명합니다.
없음
공격자는 공격 전에 권한이 없으므로 공격을 수행하기 위해 설정이나 파일에 액세스 할 필요가 없습니다.
사용자 상호 작용
이 메트릭은 공격자가 아닌 사용자가 취약한 구성 요소의 성공적인 손상에 참여하기 위한 요건을 포착합니다. 이 메트릭은 취약성이 공격자의 의지만으로 악용될 수 있는지 또는 별도의 사용자(또는 사용자가 시작한 프로세스)가 어떤 방식으로든 참여해야 하는지 여부를 결정합니다.
필수 항목
이 취약성을 성공적으로 악용하려면 취약성을 악용하기 전에 사용자가 몇 가지 조치를 취해야 합니다.
범위
성공적인 공격이 취약한 구성 요소가 아닌 다른 구성 요소에 영향을 미치나요? 만약 그렇다면 기본 점수가 높아지고 기밀성, 무결성 및 인증 메트릭은 영향을 받는 구성 요소를 기준으로 점수를 매겨야 합니다.
변경되지 않음
악용된 취약성은 동일한 보안 기관에서 관리하는 리소스에만 영향을 미칠 수 있습니다. 이 경우 취약한 구성 요소와 영향을 받는 구성 요소가 같거나 동일한 보안 기관에서 둘 다 관리합니다.
기밀성
이 메트릭은 성공적으로 악용된 취약성으로 인해 소프트웨어 구성 요소가 관리하는 정보 리소스의 기밀성에 미치는 영향을 측정합니다. 기밀성이란 정보 액세스 및 공개를 권한이 있는 사용자만으로 제한하고, 권한이 없는 사용자에게는 액세스 및 공개를 막는 것을 말합니다.
높음
기밀성이 완전히 손실되어 영향을 받는 구성 요소 내의 모든 리소스가 공격자에게 유출됩니다. 또는 일부 제한된 정보에만 액세스 할 수 있지만 공개된 정보가 직접적이고 심각한 영향을 미칩니다.
무결성
이 메트릭은 공격이 성공한 취약성의 무결성에 미치는 영향을 측정합니다. 무결성이란 정보의 신뢰성과 정확성을 말합니다.
높음
무결성이 완전히 손실되거나 보호가 완전히 손실됩니다. 예를 들어, 공격자는 영향을 받는 구성 요소가 보호하는 모든 파일을 수정할 수 있습니다. 또는 일부 파일만 수정할 수 있지만 악의적인 수정은 영향을 받는 구성 요소에 직접적이고 심각한 결과를 초래할 수 있습니다.
가용성
이 메트릭은 성공적으로 악용된 취약성으로 인해 영향을 받는 구성 요소의 가용성에 미치는 영향을 측정합니다. 네트워크 서비스(예를 들어 웹, 데이터베이스, 전자 메일)와 같이 영향을 받는 구성 요소 자체의 가용성 손실을 말합니다. 가용성은 정보 리소스의 접근성을 의미하므로 네트워크 대역폭, 프로세서 주기 또는 디스크 공간을 소모하는 공격은 영향을 받는 구성 요소의 가용성에 모두 영향을 미칩니다.
높음
가용성이 완전히 손실되어 공격자가 영향을 받는 구성 요소의 리소스에 대한 액세스를 완전히 거부할 수 있습니다. 이 손실은 (공격자가 공격을 계속 전달하는 동안) 지속되거나 영구적입니다(공격이 완료된 후에도 상태가 지속됩니다). 또는 공격자가 가용성의 일부를 거부할 수 있는데 이 가용성 손실이 영향을 받는 구성 요소에 직접적이고 심각한 결과를 초래합니다(예를 들어, 공격자가 기존 연결을 중단할 수 없지만 새로운 연결을 차단할 수 있음, 공격자는 반복적으로 취약성을 악용할 수 있으며 공격이 성공할 때마다 적은 양의 메모리만 누출되지만 반복적으로 악용되면 서비스를 완전히 사용할 수 없게 됨).
임시 점수 메트릭(3)
익스플로잇 코드 완성도
이 메트릭은 취약성이 공격받을 가능성을 측정한 것이며, 일반적으로 악용 기술의 현재 상태, 악용 코드의 공개 가용성 또는 활성 상태의 '실제(in-the-wild)' 공격을 기반으로 합니다.
증명되지 않음
공개적으로 사용 가능한 익스플로잇 코드가 없거나 익스플로잇이 이론적으로 존재합니다.
교정 수준
취약성의 수정 수준은 우선 순위를 지정하는 데 중요한 요소입니다. 일반적인 취약성은 처음 게시될 때 패치되지 않습니다. 공식 패치 또는 업그레이드가 발표될 때까지 임시 해결 방법 또는 핫픽스가 제공될 수 있습니다. 이러한 각 단계는 교정이 최종화됨에 따라 감소하는 긴급성을 반영하여 임시 점수를 하향 조정합니다.
공식적인 수정
완전한 공급 업체 솔루션을 이용할 수 있습니다. 공급 업체가 공식적인 패치를 발행했거나 업그레이드를 할 수 있습니다.
보고 신뢰도
이 메트릭은 취약성의 존재에 대한 자신감의 정도와 알려진 기술적 세부 사항의 신뢰도를 측정합니다. 때로는 구체적인 세부사항 없이 취약성의 존재만 공개됩니다. 예를 들어, 영향은 바람직하지 않은 것으로 인식되나 근본 원인을 알 수 없는 경우가 있습니다. 이 취약성은 나중에 연구에 의해 확증될 수 있으며, 연구는 확실하지 않지만 취약성이 어디에 있을 수 있는지 제시합니다. 마지막으로, 영향을 받는 기술의 작성자 또는 공급 업체의 승인을 통해 취약성을 확인할 수 있습니다. 취약성이 확실하게 존재하는 것으로 알려진 경우 취약성의 긴급성은 더 높아집니다. 또한 이 메트릭은 공격자가 될 가능성이 있는 기술 지식 수준을 제시합니다.
확인됨
상세 보고서가 존재하거나, 기능 재현이 가능합니다(기능 익스플로잇 이를 제공할 수 있음). 소스 코드를 사용하여 조사의 주장을 독립적으로 확인하거나 영향을 받는 코드의 작성자 또는 공급업체가 취약성이 존재함을 확인했습니다.
이러한 메트릭의 정의에 관한 자세한 내용은 CVSS(Common Vulnerability Scoring System)를 참조하세요.
악용 가능성
다음 표는 원본 게시 당시의 이 취약성에 대한 악용 가능성 평가를 제공합니다.
- Publicly disclosed
- No
- Exploited
- No
- Exploitability assessment
- 악용 가능성 낮음
FAQ
CVSS 스코어에 따르면, 공격 벡터는 로컬입니다(AV:L). 왜 CVE 타이틀이 이것을 원격 코드 실행으로 인식하나요?
타이틀에서 원격은 공격자의 위치를 지칭합니다. 이런 종류의 공격은 때로 임의 코드 실행(ACE)으로 지칭되기도 합니다. 공격 자체가 로컬로 이루어집니다. 이는 취약성을 악용하려면 공격자 또는 공격 대상자가 로컬 컴퓨터에서 코드를 실행해야 함을 의미합니다.
CVSS 메트릭에 따라 여러 점수가 있습니다. 제품마다 CVE 점수와 심각도가 다른 이유는 무엇인가요?
기호를 읽고 구문 분석하는 방식으로 인해 제품에 따라 점수가 다릅니다. Visual Studio에는 기호 서버를 자동으로 쿼리하는 기능이 있지만 .NET은 디스크에 있는 기호만 사용하므로 사용자가 기호를 수동으로 쿼리해야 합니다.
승인
- goodbyeselene
보안 업데이트
사용 중인 소프트웨어에 대한 지원 수명 주기를 확인하려면 Microsoft 지원 수명 주기를 참조하세요.
출시 날짜 Descending
제품
플랫폼
영향
최대 심각도
문서
다운로드
Build Number
2023년 2월 14일
Microsoft Visual Studio 2013 Update 5
-
Remote Code Execution
Critical
- 12.0.40700.0
2023년 2월 14일
Microsoft Visual Studio 2015 Update 3
-
Remote Code Execution
Critical
- 14.0.27555.0
2023년 2월 14일
Microsoft Visual Studio 2022 version 17.2
-
Remote Code Execution
Critical
- 17.2.13
2023년 2월 14일
Microsoft Visual Studio 2022 version 17.4
-
Remote Code Execution
Critical
- 17.4.5
2023년 2월 14일
Microsoft Visual Studio 2017 version 15.9 (includes 15.0 - 15.8)
-
Remote Code Execution
Critical
- 15.9.52
2023년 2월 14일
Microsoft Visual Studio 2022 version 17.0
-
Remote Code Execution
Critical
- 17.0.19
2023년 2월 14일
Microsoft Visual Studio 2019 version 16.11 (includes 16.0 - 16.10)
-
Remote Code Execution
Critical
- 16.11.24
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 22H2 for x64-based Systems
Remote Code Execution
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 1607 for 32-bit Systems
Remote Code Execution
Important
- 10.0.04614.05
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.7.2
Windows Server 2016 (Server Core installation)
Remote Code Execution
Important
- 10.0.14393.5717
2023년 2월 14일
Microsoft .NET Framework 4.8
Windows Server 2012
Remote Code Execution
Important
- 4.8.04614.05
- 4.8.04614.03
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 1809 for x64-based Systems
Remote Code Execution
Important
- 10.0.04614.06
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows Server 2019
Remote Code Execution
Important
- 10.0.04614.06
2023년 2월 14일
Microsoft .NET Framework 4.8
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Remote Code Execution
Important
- 4.8.4614.08
- 4.8.4614.07
2023년 2월 14일
Microsoft .NET Framework 3.5 and 4.6.2
Windows 10 for x64-based Systems
Remote Code Execution
Important
- 10.0.10240.19747
2023년 2월 14일
Microsoft .NET Framework 3.5 and 4.6.2
Windows 10 for 32-bit Systems
Remote Code Execution
Important
- 10.0.10240.19747
2023년 2월 14일
Microsoft .NET Framework 4.6.2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Remote Code Execution
Important
- 4.7.04038.06
- 4.7.4038.05
2023년 2월 14일
Microsoft .NET Framework 4.6.2
Windows Server 2008 for x64-based Systems Service Pack 2
Remote Code Execution
Important
- 4.7.04038.06
- 4.7.4038.05
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 22H2 for 32-bit Systems
Remote Code Execution
Important
- 10.0.04614.06
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.7.2
Windows Server 2016
Remote Code Execution
Important
- 10.0.14393.5717
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows Server 2016 (Server Core installation)
Remote Code Execution
Important
- 10.0.04614.05
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.7.2
Windows 10 Version 1607 for 32-bit Systems
Remote Code Execution
Important
- 10.0.14393.5717
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows Server 2016
Remote Code Execution
Important
- 10.0.04614.05
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 1607 for x64-based Systems
Remote Code Execution
Important
- 10.0.04614.05
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 22H2 for ARM64-based Systems
Remote Code Execution
Important
- 10.0.04614.06
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.7.2
Windows 10 Version 1607 for x64-based Systems
Remote Code Execution
Important
- 10.0.14393.5717
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 22H2 for x64-based Systems
Remote Code Execution
Important
- 10.0.04614.06
2023년 2월 14일
Microsoft .NET Framework 4.6.2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Remote Code Execution
Important
- 4.7.04038.06
- 4.7.4038.05
2023년 2월 14일
Microsoft .NET Framework 4.6.2
Windows Server 2008 for 32-bit Systems Service Pack 2
Remote Code Execution
Important
- 4.7.04038.06
- 4.7.4038.05
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 22H2 for 32-bit Systems
Remote Code Execution
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 22H2 for ARM64-based Systems
Remote Code Execution
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 11 Version 22H2 for x64-based Systems
Remote Code Execution
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 11 Version 22H2 for ARM64-based Systems
Remote Code Execution
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 21H2 for x64-based Systems
Remote Code Execution
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 21H2 for ARM64-based Systems
Remote Code Execution
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 11 version 21H2 for ARM64-based Systems
Remote Code Execution
Important
- 10.0.09139.02
2023년 2월 14일
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 10 Version 21H2 for 32-bit Systems
Remote Code Execution
Important
- 10.0.09139.02
All results loaded
모든 71 행을 로드함
고지 사항
Microsoft 기술 자료에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성과 특정 목적에 대한 적합성의 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실 또는 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation 또는 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 지역에서는 파생적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다.
수정 내역
version
revisionDate
description
5.0
2023년 6월 30일
To address a known issue when after installing the February 14, 2023, security updates for .NET Framework and .NET, users may have experienced issues with how WPF-based applications render XPS documents, Microsoft has released the June 2023 security updates for .NET Framework and for .NET. We recommend that customers install the June 2023 updates. Please note that if you used any workaround or mitigations for this issue, they are no longer needed, and we recommend you remove them. To remove either of the workarounds see the instructions for removal in the "Alternative Workaround" section of KB5022083 Change in how WPF-based applications render XPS documents.
4.0
2023년 6월 13일
In the Security Updates table, added Visual Studio 2013 Update 5 and Visual Studio 2015 Update 3 as they are affected by this vulnerability. Microsoft strongly recommends that customers install the updates to be fully protected from the vulnerability.
3.0
2023년 3월 29일
Microsoft has rereleased KB5022498 to address a known issue where customers who installed the .NET Framework 4.8 February cumulative update (KB5022502), then updgraded to .NET Framework 4.8.1 and subsequently scanned for updates were unable to install KB5022498. Customers who were unable to install KB5022498 should rescan for updates and install the update. Customers who have already successfully installed KB5022498 do not need to take any further action.
2.0
2023년 2월 24일
Revised the Security Updates table to include PowerShell 7.2 because this version of PowerShell 7 is affected by this vulnerability. See https://github.com/PowerShell/Announcements/issues/38 for more information.
1.0
2023년 2월 14일
Information published.
MSRC 보안 업데이트 가이드에 얼마나 만족하십니까?