Microsoft met en garde contre une faille critique d’exécution de code de PowerShell 7

0

Microsoft met en garde contre une vulnérabilité critique d’exécution de code à distance .NET Core dans PowerShell 7 causée par la façon dont le codage de texte est effectué dans .NET 5 et .NET Core.

PowerShell fournit un shell de ligne de commande, un framework et un langage de script axé sur l’automatisation du traitement des applets de commande PowerShell.

Il fonctionne sur toutes les principales plates-formes, y compris Windows, Linux et macOS, et il permet de travailler avec des données structurées telles que JSON, CSV et XML, ainsi que des API REST et des modèles d’objet.

« Mettre à jour dès que possible »

La société affirme qu’aucune mesure d’atténuation n’est disponible pour bloquer l’exploitation de la faille de sécurité identifiée comme CVE-2021-26701.

Les clients sont invités à installer les versions mises à jour de PowerShell 7.0.6 et 7.1.3 dès que possible pour protéger leurs systèmes contre les attaques potentielles.

L’avis initial de Microsoft fournit également aux développeurs des conseils sur la mise à jour de leurs applications pour supprimer cette vulnérabilité.

« Le package vulnérable est System.Text.Encodings.Web. La mise à niveau de votre package et le redéploiement de votre application devraient suffire à résoudre cette vulnérabilité », a expliqué Microsoft en Avril lorsque la faille de sécurité a été corrigée.

Toute application basée sur .NET 5, .NET Core ou .NET Framework utilisant une version de package System.Text.Encodings.Web répertoriée ci-dessous est exposée aux attaques.

Nom de PackageVersions vulnérablesVersions sécurisées
System.Text.Encodings.Web4.0.0 – 4.5.04.5.1
System.Text.Encodings.Web4.6.0-4.7.14.7.2
System.Text.Encodings.Web5.0.05.0.1

Bien que Visual Studio contienne également les binaires pour .NET, il n’est pas vulnérable à ce problème, selon l’avis de sécurité de Microsoft.

La mise à jour est proposée pour inclure les fichiers .NET afin que les applications créées à l’aide de Visual Studio, y compris la fonctionnalité .NET, soient protégées de ce problème de sécurité.

« Si vous avez des questions, posez-les sur GitHub, où l’équipe de développement de Microsoft et la communauté d’experts surveillent de près les nouveaux problèmes et fourniront des réponses dès que possible », a ajouté Microsoft.

Microsoft a également récemment annoncé qu’il faciliterait la mise à jour de PowerShell sur Windows 10 et Windows Server en publiant de futures mises à jour via le service Microsoft Update.

N’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire