KB5091596 est une mise à jour de sécurité d'avril 2026 pour ASP.NET Core 10.0 qui corrige des vulnérabilités critiques, y compris des problèmes de contournement d'authentification et de déni de service. Cette mise à jour s'applique à toutes les plateformes prenant en charge ASP.NET Core 10.0 et nécessite un déploiement immédiat pour les environnements de production.
Base de connaissancesKB5091596.NET Framework
KB5091596 — Mise à jour de sécurité pour ASP.NET Core 10.0
KB5091596 est une mise à jour de sécurité qui corrige plusieurs vulnérabilités dans ASP.NET Core 10.0, y compris CVE-2026-21001 et CVE-2026-21002, affectant les scénarios de contournement d'authentification et de déni de service sur les systèmes Windows et Linux.
22 avril 2026 12 min de lecture —
Aperçu rapide
PowerShell—Vérifier l'installation de KB5091596
PS C:\> Get-HotFix -Id KB5091596# Retourne les détails du patch si KB5091596 est installé
Télécharger la mise à jour
Télécharger depuis le catalogue Microsoft
Obtenez le package de mise à jour officiel directement depuis Microsoft
Diagnostic
Description du problème
Description du problème
Cette mise à jour de sécurité corrige plusieurs vulnérabilités critiques dans ASP.NET Core 10.0 qui pourraient permettre aux attaquants de compromettre la sécurité de l'application :
- CVE-2026-21001 : Vulnérabilité de contournement de l'authentification dans ASP.NET Core Identity permettant un accès non autorisé aux ressources protégées
- CVE-2026-21002 : Vulnérabilité de déni de service dans le serveur web Kestrel provoquant des plantages de l'application sous des modèles de requêtes spécifiques
- CVE-2026-21003 : Vulnérabilité de divulgation d'informations dans le middleware ASP.NET Core exposant des données de configuration sensibles
- Les applications peuvent rencontrer des échecs d'authentification inattendus ou des plantages lors du traitement de requêtes malformées
- Exposition potentielle de données sensibles de l'application via des réponses d'erreur
Analyse
Causes
Cause principale
Les vulnérabilités proviennent d'une validation d'entrée incorrecte dans le middleware d'authentification ASP.NET Core Identity et d'une vérification des limites insuffisante dans le serveur HTTP Kestrel. Le contournement de l'authentification se produit en raison d'une logique de validation de jeton inadéquate, tandis que la vulnérabilité de déni de service résulte d'exceptions non gérées lors du traitement d'en-têtes HTTP spécialement conçus.
Aperçu
KB5091596 est une mise à jour de sécurité critique publiée le 21 avril 2026 pour ASP.NET Core 10.0. Cette mise à jour corrige plusieurs vulnérabilités de haute gravité qui pourraient permettre aux attaquants de contourner les mécanismes d'authentification, de provoquer des conditions de déni de service ou d'accéder à des informations sensibles de l'application. La mise à jour est essentielle pour tous les environnements exécutant des applications ASP.NET Core 10.0 et doit être déployée immédiatement sur les systèmes de production.
Vulnérabilités de sécurité corrigées
Cette mise à jour résout trois vulnérabilités de sécurité critiques identifiées dans ASP.NET Core 10.0 :
CVE-2026-21001 : Vulnérabilité de contournement de l'authentification
Une vulnérabilité critique dans ASP.NET Core Identity permet aux attaquants de contourner les mécanismes d'authentification en exploitant des faiblesses dans la validation des jetons JWT. Cette vulnérabilité affecte les applications utilisant ASP.NET Core Identity pour l'authentification des utilisateurs et pourrait permettre un accès non autorisé à des ressources protégées. Le score CVSS pour cette vulnérabilité est de 8.1 (Élevé).
CVE-2026-21002 : Déni de service dans Kestrel
Le serveur web Kestrel contient une vulnérabilité qui permet aux attaquants de provoquer des plantages d'application via des requêtes HTTP spécialement conçues. Cette vulnérabilité de déni de service peut être exploitée à distance sans authentification et a un score CVSS de 7.5 (Élevé).
CVE-2026-21003 : Divulgation d'informations
Les composants middleware d'ASP.NET Core peuvent involontairement exposer des informations de configuration sensibles via des réponses d'erreur. Cette vulnérabilité de divulgation d'informations a un score CVSS de 5.3 (Moyen) mais pourrait fournir aux attaquants des informations précieuses pour d'autres attaques.
Systèmes et versions affectés
KB5091596 s'applique aux systèmes et configurations suivants :
| Plateforme | Version | Statut |
|---|---|---|
| Windows 10 | Toutes les versions avec .NET 10.0 | Affecté |
| Windows 11 | Toutes les versions avec .NET 10.0 | Affecté |
| Windows Server 2019 | Avec ASP.NET Core 10.0 | Affecté |
| Windows Server 2022 | Avec ASP.NET Core 10.0 | Affecté |
| Windows Server 2025 | Avec ASP.NET Core 10.0 | Affecté |
| Linux (Ubuntu, RHEL, SUSE) | Avec le runtime .NET 10.0 | Affecté |
| macOS | Avec le runtime .NET 10.0 | Affecté |
Détails techniques
Les correctifs de sécurité dans KB5091596 incluent des mises à jour complètes des composants principaux d'ASP.NET Core :
Mises à jour du cadre d'authentification
Le cadre ASP.NET Core Identity a été considérablement amélioré pour prévenir les attaques de contournement de l'authentification. Les améliorations clés incluent :
- Renforcement des algorithmes de vérification de signature des jetons JWT
- Validation améliorée des revendications d'authentification et du contexte utilisateur
- Amélioration de la gestion des cookies d'authentification et de la gestion des sessions
- Vérifications de sécurité supplémentaires pour l'expiration des jetons et la validation de l'émetteur
Améliorations du serveur web Kestrel
Le serveur web Kestrel a été mis à jour avec des capacités de gestion des requêtes robustes :
- Analyse améliorée des en-têtes HTTP avec validation améliorée
- Meilleure gestion de la mémoire pour le traitement des grandes requêtes
- Amélioration de la gestion des erreurs pour les requêtes malformées ou malveillantes
- Mise à jour de la mise en commun des connexions et de la gestion des ressources
Améliorations de la sécurité du middleware
Les composants middleware d'ASP.NET Core incluent désormais des mesures de sécurité supplémentaires :
- Réponses d'erreur assainies pour prévenir les fuites d'informations
- Gestion des exceptions améliorée avec des pratiques de journalisation sécurisées
- Filtrage des réponses amélioré pour la protection des données sensibles
- Mise à jour de la détection de l'environnement de développement et de la gestion des réponses
Installation et déploiement
KB5091596 peut être installé par divers moyens selon votre environnement :
Environnements de développement
Pour les machines de développement, utilisez le .NET CLI pour mettre à jour :
dotnet tool update --global dotnet
dotnet workload updateEnvironnements de production
Pour les déploiements en production, utilisez Windows Update ou des outils de déploiement d'entreprise. La mise à jour peut également être installée manuellement à l'aide du catalogue Microsoft Update.
Applications conteneurisées
Pour les applications exécutées dans des conteneurs, mettez à jour l'image de base du runtime ASP.NET Core :
FROM mcr.microsoft.com/dotnet/aspnet:10.0.4Vérification post-installation
Après avoir installé KB5091596, vérifiez la mise à jour à l'aide de PowerShell :
Get-HotFix -Id KB5091596
dotnet --versionLa version .NET devrait afficher 10.0.4 ou ultérieure. Pour les applications ASP.NET Core, vérifiez la version du runtime dans les journaux d'application ou en utilisant :
dotnet --list-runtimes | findstr "Microsoft.AspNetCore.App"Recommandations de sécurité
Après avoir installé cette mise à jour, envisagez de mettre en œuvre des mesures de sécurité supplémentaires :
- Révisez et mettez à jour le middleware d'authentification personnalisé pour assurer la compatibilité
- Mettez en œuvre une journalisation et une surveillance complètes des événements d'authentification
- Auditez régulièrement les dépendances de l'application pour les vulnérabilités de sécurité
- Envisagez de mettre en œuvre des en-têtes de sécurité et des middleware supplémentaires
- Assurez-vous que tous les environnements de développement et de test sont également mis à jour
Bonne pratique : Testez cette mise à jour dans un environnement non production avant de la déployer sur les systèmes de production pour assurer la compatibilité de l'application.
Méthodes de résolution
Correctifs et changements clés
01
Corrige la vulnérabilité de contournement d'authentification dans ASP.NET Core Identity (CVE-2026-21001)
Cette mise à jour renforce la logique de validation des jetons dans le middleware ASP.NET Core Identity. La correction inclut :
- Vérification améliorée de la signature des jetons JWT
- Validation améliorée des revendications d'authentification
- Vérifications supplémentaires pour l'expiration des jetons et la validation de l'émetteur
- Mise à jour de la gestion des cookies d'authentification pour prévenir les altérations
Les applications utilisant ASP.NET Core Identity bénéficieront automatiquement de ces améliorations de sécurité sans modifications de code.
02
Résout la vulnérabilité de déni de service dans le serveur web Kestrel (CVE-2026-21002)
Le serveur web Kestrel a été mis à jour pour gérer les requêtes HTTP malformées de manière plus robuste :
- Amélioration de l'analyse des en-têtes HTTP avec des caractères invalides
- Validation améliorée de la taille des requêtes pour prévenir l'épuisement de la mémoire
- Meilleure gestion des erreurs pour les corps de requêtes malformés
- Mise à jour de la gestion des connexions pour éviter les fuites de ressources
Ces changements garantissent que les applications restent stables lorsqu'elles reçoivent des requêtes inattendues ou malveillantes.
03
Corrige une vulnérabilité de divulgation d'informations dans le middleware (CVE-2026-21003)
Les composants middleware ASP.NET Core ont été mis à jour pour empêcher la fuite d'informations sensibles :
- Messages d'erreur assainis pour supprimer les détails de configuration
- Gestion des exceptions mise à jour pour empêcher l'exposition des traces de pile
- Journalisation améliorée pour exclure les données sensibles des journaux d'erreurs
- Filtrage des réponses amélioré pour les informations d'environnement de développement
Les applications en production n'exposeront plus par inadvertance les détails de configuration interne ou du système via les réponses d'erreur.
04
Met à jour le runtime ASP.NET Core vers la version 10.0.4
Le runtime complet ASP.NET Core a été mis à jour vers la version 10.0.4, qui inclut :
- Package Microsoft.AspNetCore.App mis à jour vers la version 10.0.4
- Packages Microsoft.AspNetCore.Authentication améliorés
- Composants du serveur Kestrel mis à jour
- Framework Microsoft.AspNetCore.Mvc amélioré
Toutes les applications ASP.NET Core utiliseront automatiquement les composants runtime mis à jour après l'installation.
Validation
Installation
Installation
KB5091596 est disponible via plusieurs canaux de distribution :
Installation automatique
- Windows Update : Livré automatiquement aux systèmes Windows avec .NET Framework installé
- Microsoft Update : Disponible pour les environnements d'entreprise utilisant les services Microsoft Update
Installation manuelle
- Catalogue Microsoft Update : Télécharger des packages d'installation autonomes pour un déploiement hors ligne
- .NET CLI : Mettre à jour en utilisant la commande
dotnet tool updatepour les environnements de développement - Gestionnaire de packages NuGet : Mettre à jour les packages ASP.NET Core dans Visual Studio ou via la ligne de commande
Déploiement en entreprise
- WSUS : Déployer via Windows Server Update Services pour les environnements gérés
- SCCM : Distribuer via System Center Configuration Manager
- Microsoft Intune : Déployer sur des appareils gérés via une gestion basée sur le cloud
Exigences d'installation
- Taille du fichier : Environ 85 Mo pour le package de mise à jour complet
- Redémarrage requis : Aucun redémarrage requis pour la plupart des installations
- Prérequis : Le runtime ASP.NET Core 10.0 doit être installé
- Espace disque : Minimum 200 Mo d'espace libre requis
Remarque : Les applications utilisant ASP.NET Core 10.0 doivent être redémarrées après l'installation de la mise à jour pour garantir que toutes les corrections de sécurité sont appliquées.
Si ça ne fonctionne pas
Problèmes connus
Problèmes connus
Les problèmes suivants ont été identifiés après l'installation de KB5091596 :
Compatibilité des applications
- Fournisseurs d'authentification personnalisés : Les applications utilisant un middleware d'authentification personnalisé peuvent rencontrer des problèmes de compatibilité en raison de la validation améliorée des jetons. Examinez la logique d'authentification personnalisée et mettez-la à jour si nécessaire.
- Bibliothèques tierces : Certaines bibliothèques d'authentification tierces peuvent nécessiter des mises à jour pour fonctionner avec les mesures de sécurité renforcées.
Impact sur la performance
- Surcharge d'authentification : La validation améliorée des jetons peut introduire une surcharge de performance minimale (généralement moins de 5 ms par requête).
- Utilisation de la mémoire : Utilisation de la mémoire légèrement augmentée en raison de la mise en cache supplémentaire de la validation.
Modifications de configuration
- Verbosité des journaux : Certaines informations précédemment enregistrées peuvent ne plus apparaître dans les journaux en raison des améliorations de sécurité. Mettez à jour la configuration des journaux si des détails spécifiques sont nécessaires pour le débogage.
Solutions de contournement
- Pour les applications rencontrant des problèmes d'authentification, activez temporairement la journalisation détaillée en utilisant la catégorie
Microsoft.AspNetCore.Authenticationau niveau Debug - Si l'impact sur la performance est significatif, envisagez de mettre en œuvre la mise en cache des résultats d'authentification dans le code de l'application
Important : Ne désactivez pas les améliorations de sécurité introduites par cette mise à jour. Mettez plutôt à jour le code de l'application pour fonctionner avec les mesures de sécurité améliorées.
Questions fréquentes
Que résout KB5091596 ?+
KB5091596 résout trois vulnérabilités de sécurité critiques dans ASP.NET Core 10.0 : CVE-2026-21001 (contournement de l'authentification), CVE-2026-21002 (déni de service dans Kestrel) et CVE-2026-21003 (divulgation d'informations dans le middleware). La mise à jour améliore la sécurité des composants d'authentification, de serveur web et de middleware.
Quels systèmes nécessitent KB5091596 ?+
Tous les systèmes exécutant des applications ASP.NET Core 10.0 nécessitent cette mise à jour, y compris Windows 10, Windows 11, Windows Server 2019/2022/2025, et les distributions Linux avec le runtime .NET 10.0. Les environnements de développement et de production doivent être mis à jour immédiatement.
KB5091596 est-il une mise à jour de sécurité ?+
Oui, KB5091596 est une mise à jour de sécurité critique qui corrige plusieurs vulnérabilités de haute gravité avec des scores CVSS allant de 5.3 à 8.1. Elle doit être traitée comme une mise à jour prioritaire et déployée sur tous les environnements ASP.NET Core 10.0 dès que possible.
Quelles sont les conditions préalables pour KB5091596 ?+
Les prérequis incluent l'installation du runtime ASP.NET Core 10.0, un espace disque libre minimum de 200 Mo, et environ 85 Mo pour le téléchargement de la mise à jour. Aucun redémarrage du système n'est requis, mais les applications doivent être redémarrées pour appliquer les correctifs de sécurité.
Y a-t-il des problèmes connus avec KB5091596 ?+
Les problèmes connus incluent des problèmes de compatibilité potentiels avec les fournisseurs d'authentification personnalisés en raison de la validation améliorée des jetons, une surcharge de performance minimale (moins de 5 ms par requête), et des changements possibles dans la verbosité des journaux. Les applications utilisant des bibliothèques d'authentification tierces peuvent nécessiter des mises à jour.
Références (3)
1
Mise à jour .NET 10.0 - 21 avril 2026Article de support officiel de Microsoft pour la mise à jour de sécurité .NET 10.0https://support.microsoft.com/en-us/topic/-net-10-0-update-april-21-2026-f163c5c4-30f2-42e8-9775-cf07c04c819b
2Mises à jour de sécurité ASP.NET CoreDocumentation Microsoft Learn pour les meilleures pratiques de sécurité ASP.NET Corehttps://learn.microsoft.com/en-us/aspnet/core/security/
3Avis de sécurité .NETDépôt officiel des annonces et avis de sécurité .NEThttps://github.com/dotnet/announcements/issues
Discussion
Partagez vos réflexions et analyses
Connectez-vous pour participer
Plus d'articles
Articles KB associés
Security Update
.NET Framework
KB5082403 — Rollup de sécurité et de qualité pour .NET Framework 4.8 sur Windows Server 2012
KB5082403 est une mise à jour cumulative de sécurité et de qualité pour .NET Framework 4.8 sur les systèmes Windows Server 2012 et Windows Server 2012 R2, traitant de multiples vulnérabilités de sécurité et améliorations de qualité publiées en avril 2026.
16 avril7 min
Security Update
.NET Framework
KB5086097 — Mise à jour de sécurité pour le Framework .NET 9.0
KB5086097 est une mise à jour de sécurité qui corrige plusieurs vulnérabilités dans le Framework .NET 9.0, y compris CVE-2026-0234 et CVE-2026-0235, affectant les installations multiplateformes sur les systèmes Windows, Linux et macOS.
16 avril12 min
Security Update
.NET Framework
KB5086095 — Mise à jour de sécurité pour .NET Framework 10.0
KB5086095 est une mise à jour de sécurité qui corrige plusieurs vulnérabilités dans .NET Framework 10.0, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, macOS et Linux.
16 avril12 min