今週初め、マイクロソフトはASP.NET Coreのセキュリティ脆弱性として「過去最高」の深刻度評価を受けた脆弱性に対してパッチを公開しました。
このHTTPリクエスト・スマグリングのバグ(
ASP.NET Coreアプリケーションを潜在的な攻撃から守るために、マイクロソフトは開発者およびユーザーに以下の対策を推奨しています:
- .NET 8以降を使用している場合、Microsoft Updateから.NETの更新プログラムをインストールし、アプリケーションを再起動するか、マシンを再起動してください。
- .NET 2.3を使用している場合、Microsoft.AspNet.Server.Kestrel.Coreのパッケージ参照を2.3.6に更新し、アプリケーションを再コンパイルして再配備してください。
- 自己完結型/単一ファイルアプリケーションを使用している場合、.NETの更新プログラムをインストールし、再コンパイルして再配備してください。
この脆弱性に対応するため、マイクロソフトはMicrosoft Visual Studio 2022、ASP.NET Core 2.3、ASP.NET Core 8.0、ASP.NET Core 9.0、さらにASP.NET Core 2.xアプリ向けのMicrosoft.AspNetCore.Server.Kestrel.Coreパッケージにセキュリティ更新プログラムをリリースしました。
.NETセキュリティテクニカルプログラムマネージャーのバリー・ドランズによれば、CVE-2025-55315攻撃の影響はターゲットとなるASP.NETアプリケーションによって異なり、攻撃が成功すると脅威アクターが別のユーザーとしてログインできる(権限昇格)、内部リクエストを実行できる(サーバーサイドリクエストフォージェリ攻撃)、クロスサイトリクエストフォージェリ(CSRF)チェックを回避できる、またはインジェクション攻撃を実行できる可能性があります。
「しかし、何が可能かはアプリの書き方次第なので分かりません。そのため、最悪のケースを想定してスコアを付けています。つまり、スコープが変わるセキュリティ機能のバイパスです」とドランズ氏は述べています。
「それが起こりやすいか?おそらくそうではありません。アプリケーションコードが何か奇妙なことをしていて、各リクエストで行うべきチェックを多数スキップしていない限りは。ただし、必ずアップデートしてください。」
今月のパッチチューズデーで、マイクロソフトは172件の脆弱性に対するセキュリティ更新プログラムを公開しました。その中には8件の「重大」な脆弱性と、6件のゼロデイバグ(うち3件は実際に攻撃で悪用されていました)が含まれています。
今週、マイクロソフトはまた、オペレーティングシステムのサポート終了に伴い、Windows 10の最終セキュリティ更新プログラムを含む累積更新プログラムKB5066791も公開しました。
