Microsoft şirkəti macOS və Linux üzərində işləyən ASP.NET Core tətbiqləri üçün kritik təhlükəsizlik zəifliyini aradan qaldırmaq məqsədilə təcili yeniləmə yayımlayıb. Bu təhlükəsizlik zəifliyi, autentifikasiyasız hücumçuların sistem imtiyazlarına sahib olmasına imkan yaradır.
Microsoft çərşənbə axşamı axşam saatlarında bildirdi ki, CVE-2026-40372 kimi izlənən zəiflik, Microsoft.AspNetCore.DataProtection NuGet paketinin 10.0.0-dan 10.0.6 versiyasına qədər olan versiyalarını təsir edir.
Bu kritik zəiflik, kriptoqrafik imzaların səhv yoxlanılması nəticəsində yarandığı üçün autentifikasiyasız hücumçuların HMAC yoxlama prosesi zamanı autentifikasiya yüklərini saxtalaşdırmasına imkan verir.
Təhlükə Hələ Də Mövcuddur?
Bu zəiflikdən təsirlənən cihazlar yeniləndikdən sonra belə, saxta autentifikasiya məlumatları təmizlənməzsə, kompromet ola bilər. Microsoft bildirib ki, hücumçular saxta yükləri istifadə edərək imtiyazlı istifadəçi kimi autentifikasiya edə bilər, bu da onların özlərinə qanuni imzalı tokenlər əldə etməsinə səbəb ola bilər.
ASP.NET Core Nədir?
ASP.NET Core, Windows, macOS, Linux və Docker üzərində işləyən .Net tətbiqləri yazmaq üçün yüksək performanslı veb inkişaf mühiti olaraq təsvir edilir. Bu açıq mənbəli paket, tətbiqlərin davamlı işləməsini təmin edərkən, sürətli inkişaf etməyə imkan verir.
Zəiflikdəki Problem Necə Həll Olunur?
Microsoft istifadəçilərə Microsoft.AspNetCore.DataProtection paketini 10.0.7 versiyasına qədər yeniləməyi tövsiyə edir. Bu yeniləmə, deşifrə regresiyası və təhlükəsizlik zəifliyini həll edir. Xüsusilə macOS, Linux və digər qeyri-Windows sistemlərdən istifadə edənlər bu yeniləməni mütləq quraşdırmalıdır.
Nəticə: Təhlükəsizlik zəifliklərini aradan qaldırmaq üçün Microsoft'un son yeniləmələrini dərhal tətbiq edin və tətbiqinizin təhlükəsizliyini təmin edin.
