.NET、.NET Framework 和 Visual Studio 阻斷服務弱點
CVE-2023-29331
Security Vulnerability
發行日期: 2023年6月13日
上次更新:2023年6月29日
- Assigning CNA
- Microsoft
- CVE.org link
- CVE-2023-29331
- 影響
- 阻斷服務
- 最大嚴重性
- 重要
- Weakness
- CVSS Source
- Microsoft
- 向量字串
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C
- Metrics
- CVSS:3.1 7.5 / 6.7基本分數量度:7.5 / 時間分數量度: 6.7
Metric
Value
基本分數量度(8)
攻擊媒介
該量度反映出可能利用弱點的環境。基本分數越高,攻擊者便更容易利用其更遠的遠端(邏輯上和物理上的),從而破壞易受攻擊的元件。
網路
易受攻擊的元件已繫結到網路堆疊,而且可能的攻擊者範圍超出所列的其他選項,甚至包括整個網際網路。這種弱點通常被稱為「可遠端利用」,並且可以被認為是一種或多種網路跳躍(例如,跨越一個或多個路由器)在協議級別可利用的攻擊。
攻擊複雜性
該量度描述攻擊者無法控制卻是利用此弱點必須存在的條件。這樣的條件可能需要收集有關目標或計算異常的更多資訊。該量度的評估不包括為了利用此弱點而進行使用者交互的任何要求。如果需要特定設定才能攻擊成功,則應假定該設定下易受攻擊元件的基本量度得到評分。
低
不存在專門的存取條件或可減輕的情況。攻擊者可以期望對易受攻擊的元件重複取得成功。
權限要求
該量度描述攻擊者在成功利用此弱點之前必須擁有的權限等級。
無
攻擊者在攻擊之前未經授權,因此不需要設定或檔案的任何存取權即可進行攻擊。
使用者互動
該量度擷取攻擊者以外的使用者參與成功入侵易受攻擊元件的要求。該量度確定是否可以僅根據攻擊者的意願來利用弱點,還是必須以某種方式參與到單獨的使用者(或使用者啟動的進程)中。
無
無需任何使用者進行任何互動,即可利用易受攻擊的系統。
範圍
成功的攻擊會影響除易受攻擊的元件以外的其他元件嗎?如果是這樣,則基本分數會增加,並且應相對於受影響的元件而對機密性、完整性和身份驗證量度進行評分。
未變更
遭利用的弱點僅會影響由相同安全性授權單位管理的資源。在這種情況下,易受攻擊的元件和受影響的元件是相同的,或者均由同一安全機構管理。
機密性
該量度用於衡量由於成功利用弱點,而對軟體元件管理之資訊資源機密性的影響。機密性是指將資訊存取和披露僅限於授權使用者,以及防止未經授權的使用者存取或披露資訊。
無
在受影響的元件中不會喪失機密性。
完整性
該量度用於衡量成功利用的弱點對完整性的影響。完整性是指資訊的可信賴性和準確性。
無
在受影響的元件中不會喪失完整性。
可用性
該量度用於衡量由於成功利用弱點,而對受影響元件的可用性產生的影響。它是指受影響元件本身(例如,網路服務:如Web、資料庫、電子郵件)的可用性喪失。由於可用性是指信息資源的可存取性,因此消耗網路頻寬、處理器週期或磁碟空間的攻擊都會影響受影響元件的可用性。
高
完全喪失可用性,導致攻擊者能夠完全拒絕存取受影響元件中的資源。這種可用性喪失情況既可以在攻擊者繼續進行攻擊的同時存續,也可以在攻擊完成後仍然持續存在。或者,攻擊者可以拒絕某些可用性,但是可用性的喪失會對受影響的元件造成直接的嚴重後果(例如,攻擊者無法破壞現有連接,但可以阻止新連接;攻擊者可以反復利用一個弱點,該弱點在每次成功攻擊的情況下只會洩漏少量記憶體,但是在反復利用之後,該服務將變得完全不可用)。
時間分數量度(3)
利用程式碼成熟度
該量度用於衡量弱點遭到攻擊的可能性,而且通常根據惡意探索技術的目前狀態、惡意探索程式碼的可用性或「世界各地」使用中的惡意探索方式來進行。
概念驗證
有可用的概念驗證惡意探索程式碼,或者對於大多數系統來說,攻擊示範不切實際。並非在所有情況下該代碼或技術都起作用,並且可能需要熟練的攻擊者進行實質性修改。
修復等級
弱點的修復等級是確定優先順序的重要因素。最初發佈時,未修補典型弱點。解決方法或修補程式可能會提供臨時修復,直到發佈正式修補程式或升級為止。這些各個階段中的每個階段都向下調整時間得分,反映出隨著補救工作的最終完成,緊迫性得到降低。
官方修正程式
有完整的廠商解決方案。廠商已經發佈了官方修補程式,或者可執行升級。
報告機密性
該量度用於衡量對弱點存在的信心程度,以及已知技術詳細資料的可信度。有時僅公開存在的弱點,但無具體細節。例如,可能認為會有不良影響,但根本原因可能未知。以後可能會透過研究來證實該弱點,儘管該研究可能不確定,但該研究提示了該弱點可能位於何處。最後,可以透過受影響的技術的作者或廠商的確認來確認弱點。當已知某個弱點確實存在時,該弱點的緊急性就會更高。該量度還表明了可能成為攻擊者的技術知識水準。
已確認
有詳細報告存在,或可能進行功能複製 (功能惡意探索可能做得到這點)。原始程式碼可用於獨立驗證研究的聲明,或者受影響程式碼的作者或廠商已確認存在此弱點。
請參閱常見弱點評分系統,以取得有關這些量度定義的詳細資訊。
可擅用性
下列表格提供最初公開時此弱點的可擅用性評定。
- Publicly disclosed
- No
- Exploited
- No
- Exploitability assessment
- 利用可能性低
致謝
- Kevin Jones, GitHub
安全性更新
若要了解您軟體的支援生命週期,請參閱 Microsoft 支援週期網站。
發行日期 Descending
產品
平台
影響
最大嚴重性
文章
下載
Build Number
2023年6月13日
Microsoft .NET Framework 4.8
Windows 10 Version 1607 for 32-bit Systems
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows Server 2019 (Server Core installation)
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 4.8
Windows Server 2012 (Server Core installation)
Denial of Service
Important
- 4.8.4644.0
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows Server 2019
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 4.8
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Denial of Service
Important
- 4.8.4644.0
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows Server 2022 (Server Core installation)
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 1809 for x64-based Systems
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 4.8
Windows Server 2012 R2
Denial of Service
Important
- 4.8.4644.0
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 4.8
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Denial of Service
Important
- 4.8.4644.0
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 4.8
Windows 10 Version 1607 for x64-based Systems
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 4.8
Windows Server 2012 R2 (Server Core installation)
Denial of Service
Important
- 4.8.4644.0
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 1809 for 32-bit Systems
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 4.8
Windows Server 2016 (Server Core installation)
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows 11 version 21H2 for x64-based Systems
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows 11 version 21H2 for ARM64-based Systems
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 21H2 for 32-bit Systems
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.7.2
Windows 10 Version 1809 for x64-based Systems
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.7.2
Windows 10 Version 1809 for 32-bit Systems
Denial of Service
Important
- 4.7.4050.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 22H2 for 32-bit Systems
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 22H2 for ARM64-based Systems
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 21H2 for x64-based Systems
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 22H2 for x64-based Systems
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows 10 Version 21H2 for ARM64-based Systems
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8
Windows Server 2022
Denial of Service
Important
- 4.8.4644.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 11 version 21H2 for x64-based Systems
Denial of Service
Important
- 4.8.9166.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows 11 version 21H2 for ARM64-based Systems
Denial of Service
Important
- 4.8.9166.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows Server 2022 (Server Core installation)
Denial of Service
Important
- 4.8.9166.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.8.1
Windows Server 2022
Denial of Service
Important
- 4.8.9166.0
2023年6月13日
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2012 R2 (Server Core installation)
Denial of Service
Important
- 4.7.04043.0
- 4.7.4050.0
2023年6月13日
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2012 R2
Denial of Service
Important
- 4.7.04043.0
- 4.7.4050.0
2023年6月13日
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2012
Denial of Service
Important
- 4.7.04043.0
- 4.7.4050.0
2023年6月13日
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2012 (Server Core installation)
Denial of Service
Important
- 4.7.04043.0
- 4.7.4050.0
2023年6月13日
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Denial of Service
Important
- 4.7.04043.0
- 4.7.4050.0
2023年6月13日
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Denial of Service
Important
- 4.7.04043.0
- 4.7.4050.0
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2016 (Server Core installation)
Denial of Service
Important
- 10.0.14393.5989
2023年6月13日
Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2
Windows Server 2016
Denial of Service
Important
- 10.0.14393.5989
All results loaded
已載入全部 75 列
免責聲明
Microsoft 知識庫提供的資訊係依「現況」提供,不附任何保證。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。
修訂
version
revisionDate
description
2.0
2023年6月29日
Revised the Security Updates table to include PowerShell 7.2 and PowerShell 7.3 because these versions of PowerShell 7 are affected by this vulnerability. See https://github.com/PowerShell/Announcements/issues/44 for more information.
1.0
2023年6月13日
Information published.
您對 MSRC 安全性更新導覽的滿意度為何?