- CVE-2025-55315 ASP.NET Core의 Kestrel 웹 서버로 인해 HTTP 요청 하이재킹 가능
- 공격자는 제어를 우회하고, 자격 증명에 액세스하고, 파일을 수정하거나, 서버를 충돌시킬 수 있습니다.
- Microsoft는 결함을 완화하기 위해 영향을 받는 .NET 및 Visual Studio 버전에 대한 업데이트를 출시했습니다.
Microsoft는 최근 ASP.NET Core 제품을 괴롭히는 “가장 일반적인” 취약점을 패치했음을 확인했습니다.
“HTTP 요청 하이재킹 버그”로 설명되는 이 취약점은 CVE-2025-55315로 추적되며 심각도 점수는 9.9/10(심각)입니다.
이는 Kestrel ASP.NET Core 웹 서버에 영향을 미치며 인증되지 않은 공격자가 보조 HTTP 요청을 원래 요청으로 “밀수”할 수 있습니다.
업데이트 방법
밀수꾼은 공격자가 다양한 보안 제어를 우회하도록 도울 수 있습니다. 설명되어 있습니다.
마이크로소프트는 보안 권고에서 “이 취약점을 성공적으로 악용한 공격자는 다른 사용자의 자격 증명(개인정보)과 같은 민감한 정보를 볼 수 있고, 대상 서버의 파일 내용을 변경할 수 있으며(무결성), 서버에 충돌이 발생할 수 있다(가용성)”라고 설명했습니다.
실행 중인 버전에 따라 잠재적인 공격으로부터 인프라를 보호하는 다양한 방법이 있습니다.
.NET 8 이상을 실행하는 사용자는 Microsoft Update에서 .NET 업데이트를 설치해야 하며, .NET 2.3을 실행하는 사용자는 Microsoft.AspNet.Server.Kestrel.Core에 대한 패키지 참조를 2.3.6으로 업데이트한 다음 애플리케이션을 다시 컴파일하고 다시 배포해야 합니다. 자체 포함/단일 파일 애플리케이션을 실행하는 사용자는 .NET 업데이트를 설치, 다시 컴파일 및 재배포해야 합니다.
Microsoft는 Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0, ASP.NET Core 9.0 및 ASP.NET Core 2.x 앱용 Microsoft.AspNetCore.Server.Kestrel.Core 패키지에 대한 보안 업데이트를 출시했습니다.
GitHub에서 .NET 보안 기술 프로그램 관리자인 Barry Dorrance는 버그 점수가 “그렇게 높지는 않을 것”이라고 말했습니다. 그러나 점수는 ASP.NET을 기반으로 구축된 응용 프로그램에 영향을 미칠 수 있는 방식을 기반으로 하므로 각 개별 응용 프로그램에 따라 결정됩니다.
“앱을 어떻게 작성하느냐에 따라 무엇이 가능한지 알 수 없습니다.”라고 그는 말했습니다. “그래서 우리는 범위를 변경하는 보안 기능을 우회하여 최악의 경우를 염두에 두고 점수를 매겼습니다.”
~을 통해 등록하다
Google 뉴스에서 TechRadar 팔로우 그리고 우리를 선호 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰, 의견을 받아보세요. 팔로우 버튼을 꼭 눌러주시는 것 잊지 마세요!
그리고 물론 당신은 할 수 있습니다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 언박싱, 동영상 등의 형태로 정기적인 업데이트를 받아보세요. 왓츠앱 매우
