Actualizaciones de .NET Core de julio de 2020: 2.1.20 y 3.1.6

La actualización de julio de .NET Core se lanzó la semana pasada. Contiene correcciones de seguridad y mejoras de confiabilidad. Consulte las notas de la versión individual para obtener detalles sobre los paquetes actualizados. Este artículo resume las mejoras de seguridad de forma colectiva.

La seguridad

Vulnerabilidad CVE-2020-1147: vulnerabilidad de ejecución remota de código de .NET Core



Microsoft está lanzando este aviso de seguridad para proporcionar información sobre la vulnerabilidad de .NET Core. Esta guía también proporciona orientación sobre lo que los desarrolladores pueden hacer para actualizar sus aplicaciones para abordar esta vulnerabilidad.



Microsoft es consciente de una vulnerabilidad de ejecución remota de código en el software .NET donde el software no puede validar el marcado original de un archivo XML. Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario en el contexto del usuario actual.



Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad enviando solicitudes especialmente diseñadas a una aplicación ASP.NET Core u otra aplicación que analice ciertos tipos de XML.



La actualización de seguridad corrige la vulnerabilidad al limitar los tipos que pueden estar presentes en una carga útil XML.

Consigue la actualización

• .NET Core 3.1.6 y .NET Core SDK (  Descargar  |  Notas de la versión  )
• .NET Core 2.1.20 y .NET Core SDK (  Descargar  |  Notas de la versión  )

Consulte las notas de la versión de .NET Core para obtener detalles sobre la versión, incluidas las correcciones y los problemas planteados.



Las últimas actualizaciones de .NET Core están disponibles en la página de descarga de .NET Core.

Imágenes de docker

Las imágenes de .NET Docker también se han actualizado. Se han actualizado los siguientes repositorios:

• dotnet / core / sdk : SDK de .NET Core
• dotnet / core / aspnet : tiempo de ejecución de ASP.NET Core
• dotnet / core / runtime : .NET Core Runtime
• dotnet / core / runtime-deps : dependencias de .NET Core Runtime
• dotnet / core / samples : ejemplos de .NET Core

Nota: Para obtener esta actualización, debe obtener las imágenes de contenedor de .NET Core actualizadas mediante docker pull o docker build --pull.

Estudio visual

Esta actualización se incluirá en una futura actualización de Visual Studio.



Cada versión de Visual Studio solo es compatible con esta versión de .NET Core SDK. La información de la versión de Visual Studio se incluye en las páginas de descarga del SDK de .NET Core y en las notas de la versión. Si no utiliza Visual Studio, le recomendamos que utilice el SDK más reciente.