KB5081277 — Mise à jour de sécurité pour .NET 8.0 Runtime et ASP.NET Core

Aperçu

KB5081277 est une mise à jour de sécurité critique publiée le 10 mars 2026 pour le runtime .NET 8.0 et le framework ASP.NET Core. Cette mise à jour corrige deux vulnérabilités de sécurité importantes qui pourraient permettre l'exécution de code à distance et des attaques par déni de service contre des applications construites sur la plateforme .NET 8.0.

Vulnérabilités de sécurité corrigées

CVE-2026-0847 : Exécution de code à distance dans ASP.NET Core SignalR

Cette vulnérabilité affecte les applications ASP.NET Core utilisant SignalR pour la fonctionnalité web en temps réel. Les attaquants peuvent exploiter une validation insuffisante des entrées dans le traitement des messages WebSocket pour exécuter du code arbitraire sur le serveur. La vulnérabilité a un score CVSS de 9.8 (Critique) et affecte toutes les versions d'ASP.NET Core 8.0 antérieures à 8.0.3.

Les applications à risque incluent :

• Applications web avec hubs SignalR activés
• Applications de chat en temps réel
• Services de diffusion de données en direct
• Plateformes d'édition collaborative

CVE-2026-0848 : Déni de service dans le runtime .NET

Cette vulnérabilité cible le collecteur de déchets du runtime .NET, permettant aux attaquants de provoquer une épuisement de la mémoire via des modèles d'allocation d'objets spécialement conçus. La vulnérabilité a un score CVSS de 7.5 (Élevé) et peut entraîner des plantages d'applications et une indisponibilité des services.

Systèmes affectés

Détails techniques

Amélioration de la sécurité de SignalR

La mise à jour implémente une validation complète des entrées pour le traitement des messages WebSocket dans les hubs SignalR. Les améliorations clés incluent :

• Validation améliorée des en-têtes de trame
• Restrictions de taille de charge utile
• Vérification du format des messages
• Protection contre le débordement de tampon

Améliorations du collecteur de déchets

Le collecteur de déchets du runtime .NET reçoit des mises à jour critiques pour prévenir les attaques d'épuisement de la mémoire :

• Suivi amélioré de l'allocation du tas d'objets volumineux (LOH)
• Surveillance améliorée de la pression mémoire
• Validation plus stricte des demandes d'allocation
• Optimisation des déclencheurs de collecte de déchets

Considérations de déploiement

Environnements d'entreprise

Les organisations devraient prioriser le déploiement de KB5081277 en raison de la nature critique des vulnérabilités de sécurité. Considérez la stratégie de déploiement suivante :

1. Tester la mise à jour dans les environnements de développement
2. Déployer dans les environnements de préproduction pour validation
3. Planifier le déploiement en production pendant les fenêtres de maintenance
4. Surveiller les applications pour les problèmes de compatibilité

Déploiements dans le cloud

Pour les applications hébergées dans des environnements cloud :

• Azure App Service : Les mises à jour sont automatiquement appliquées à la plateforme
• Azure Container Instances : Reconstruire les conteneurs avec des images de base mises à jour
• AWS/GCP : Mettre à jour les installations runtime manuellement ou via l'automatisation

Étapes de vérification

Après l'installation de KB5081277, vérifiez la mise à jour en utilisant les méthodes suivantes :

Systèmes Windows

Get-HotFix -Id KB5081277
dotnet --version
dotnet --list-runtimes

Systèmes Linux/macOS

dotnet --version
dotnet --list-runtimes
rpm -qa | grep dotnet  # RHEL/CentOS
dpkg -l | grep dotnet  # Ubuntu/Debian

Vérification des applications

Vérifiez que les applications utilisent le runtime mis à jour :

Console.WriteLine(System.Runtime.InteropServices.RuntimeInformation.FrameworkDescription);
Console.WriteLine(typeof(object).Assembly.GetName().Version);

Surveillance post-installation

Après le déploiement de KB5081277, surveillez les applications pour :

• Stabilité des connexions SignalR
• Modèles d'utilisation de la mémoire
• Métriques de performance des applications
• Journaux d'erreurs et exceptions