Microsoft annonce la fin de support de plusieurs versions du framework .NET

Microsoft a annoncé que plusieurs versions du framework .NET signées à l’aide de l’algorithme de hachage sécurisé SHA-1 atteindront leur fin de vie l’année prochaine.

Le framework .NET est un cadre de développement de logiciels libres qui aide les développeurs à construire des applications, des sites Web et des services que les utilisateurs peuvvent exécuter sur de nombreux systèmes d’exploitation (y compris Windows), en utilisant différentes implémentations de .NET.

« .NET Framework 4.5.2, 4.6, et 4.6.1 atteindront leur fin de vie le 26 avril 2022 », a déclaré Jamshed Damkewala, directeur principal de l’ingénierie de .NET.

« Après cette date, nous ne fournirons plus de mises à jour, y compris des correctifs de sécurité ou un support technique pour ces versions. »

La seule exception est que la version 4.6 de .NET Framework livrée avec Windows 10 Enterprise LTSC 2015 recevra un support prolongé jusqu’en Octobre 2025, lorsque le système d’exploitation atteindra sa fin de vie.

Pas de recompilation ou de re-ciblage après le passage à la version 4.6.2 ou une version plus récente

Les développeurs de .NET doivent migrer leurs applications vers au moins .NET Framework 4.6.2 ou une versions plus récente avant le 26 Avril 2022, pour continuer à recevoir des mises à jour de sécurité et de soutien technique.

Les développeurs qui n’ont pas déjà déployé .NET Framework 4.6.2 ou des versions ultérieures de leurs applications doivent mettre à jour le runtime sur lequel les applications sont en cours d’exécution à au moins la version 4.6.2 pour être pris en charge.

.NET Framework 4.6.2 (sortie il y a près de cinq ans) et .NET Framework 4.8 (sortie il y a deux ans) sont à la fois des runtimes stables et des remplacements compatibles « largement déployés sur des centaines de millions d’ordinateurs via Windows Update (WU). »

« Si votre application a été conçue pour cibler .NET Framework version 4 à 4.6.1, elle devrait continuer à s’exécuter sur .NET Framework 4.6.2 et une version plus récente sans aucun changement dans la plupart des cas », a ajouté Damkewala, sans avoir besoin de recompilation ou de re-ciblage.

« Cela dit, nous vous recommandons fortement de vérifier que les fonctionnalités de votre application ne sont pas affectées lors de l’exécution de la nouvelle version d’exécution avant de déployer le runtime mis à jour dans votre environnement de production. »

Retiré après le passage à la signature SHA-2

Microsoft arrête le support de ces versions du framework .NET parce qu’elles sont signées numériquement avec des certificats qui utilisent l’algorithme de hachage cryptographique SHA-1, qui n’est plus considéré comme sécurisé de nos jours.

Des chercheurs en sécurité ont publié en 2015 un rapport sur la vulnérabilité de SHA-1 aux attaques de collision qui pourrait permettre aux pirates informatique de falsifier des certificats numériques pour usurper l’identité d’entreprises ou de sites Web.

Ces faux certificats numériques peuvent être utilisés pour usurper des entreprises, ajouter de la légitimité aux messages d’hameçonnage, ou dans des attaques d’homme du milieu pour fouiner sur des sessions réseau chiffrées.

À partir du 9 mai, tous les principaux services et processus Microsoft (y compris la signature de code, le hachage de fichiers et les certificats TLS) utiliseront exclusivement l’algorithme SHA-2.

Microsoft a également retiré tout le contenu SHA-1 signé par Windows du Microsoft Download Center en août 2020, après avoir changé la signature des mises à jour de Windows pour utiliser l’algorithme SHA-2 un an auparavant.

Il est également important de noter que, bien que Microsoft ne prend en charge que le contenu signé SHA-2 pour le contenu officiel, les exécutables Windows signés à l’aide de certificats d’entreprise ou de certificats SHA-1 auto-signés peuvent toujours s’exécuter dans le système d’exploitation.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire