БДУ - Уязвимости

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-06110: Уязвимость средства разработки программного обеспечения Microsoft Visual Studio, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость средства разработки программного обеспечения Microsoft Visual Studio связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор	Microsoft Corp.
Наименование ПО	.NET, Microsoft Visual Studio
Версия ПО	7.0 (.NET) 6.0 (.NET) 2022 (от 17.2 до 17.2.19) (Microsoft Visual Studio) 2022 (от 17.4 до 17.4.11) (Microsoft Visual Studio) 2022 (от 17.6 до 17.6.7) (Microsoft Visual Studio) 2022 (от 17.7 до 17.7.4) (Microsoft Visual Studio)
Тип ПО	Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Неконтролируемый расход ресурса («Истощение ресурса»), Некорректная зачистка или освобождение ресурсов
Идентификатор типа ошибки	CWE-400 CWE-404
Класс уязвимости	Уязвимость кода
Дата выявления	12.09.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36799 Результаты тестирования обновлений: Обновление .NET 6.0 (компонент ASP.NET Core Runtime 6.0.22) (KB5030559) Обновление .NET 7.0 (компонент ASP.NET Core Runtime 7.0.11) (KB5030560) Обновление .NET 6.0 (компонент .NET Hosting 6.0.22) (KB5030559) Обновление .NET 7.0 (компонент .NET Hosting 7.0.11) (KB5030560) Обновление .NET 6.0 (компонент .NET Runtime 6.0.22) (KB5030559) Обновление .NET 7.0 (компонент .NET Runtime 7.0.11) (KB5030560) Обновление .NET 6.0 (компонент .NET SDK 6.0.122) (KB5030559) Обновление .NET 6.0 (компонент .NET SDK 6.0.317) (KB5030559) Обновление .NET 6.0 (компонент .NET SDK 6.0.414) (KB5030559) Обновление .NET 7.0 (компонент .NET SDK 7.0.111) (KB5030560) Обновление .NET 7.0 (компонент .NET SDK 7.0.308) (KB5030560) Обновление .NET 7.0 (компонент .NET SDK 7.0.401) (KB5030560) Обновление .NET 6.0 (компонент Windows Desktop Runtime 6.0.22) (KB5030559) Обновление .NET 7.0 (компонент Windows Desktop Runtime 7.0.11) (KB5030560) Обновление Visual Studio 2022 Обновление Visual Studio 2022 Обновление Visual Studio 2022 Обновление .NET 6.0 (компонент .NET SDK 6.0.414) Обновление .NET 7.0 (компонент .NET SDK 7.0.401)
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Исчерпание ресурсов
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36799 https://vuldb.com/?id.239574
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-36799
Прочая информация	Данные уточняются