Patches de Segurança do .NET Resolvem Vulnerabilidades de Manipulação de Arquivos e DoS
Ubuntu lançou atualizações críticas de segurança para .NET abordando duas vulnerabilidades significativas: resolução inadequada de links permitindo gravações de arquivo não autorizadas e uma falha de negação de serviço no tratamento de arrays do MessagePack. As equipes de desenvolvimento devem priorizar a aplicação de patches para evitar exploração local e ataques de esgotamento de recursos.
TL;DR
- CVE-2026-45491: Falha de resolução de links do .NET permite que atacantes locais gravem arquivos arbitrários fora de diretórios de extração
- CVE-2026-45591: Arrays MessagePack profundamente aninhados podem desencadear consumo excessivo de recursos e negação de serviço
- Ambas as vulnerabilidades afetam o runtime do .NET e requerem aplicação imediata de patches via atualizações de segurança do Ubuntu
- Atacantes locais podem explorar manipulação de arquivo para comprometer a integridade da aplicação e dados
A Canonical lançou o aviso de segurança USN-8420-1 abordando duas vulnerabilidades distintas no runtime do .NET que representam riscos para aplicações e sistemas executados no Ubuntu. A primeira vulnerabilidade decorre do tratamento inadequado da resolução de links simbólicos antes de operações de acesso a arquivos, criando uma janela para que atacantes locais realizem gravações de arquivo não autorizadas. A segunda envolve validação insuficiente da profundidade de aninhamento de arrays do MessagePack, permitindo condições de negação de serviço através do esgotamento de recursos.
Essas vulnerabilidades requerem atenção imediata das equipes de desenvolvimento e operações que implantam aplicações .NET. O problema de manipulação de arquivo é particularmente preocupante em ambientes multi-tenant ou de hospedagem compartilhada, onde a escalação de privilégio local poderia levar a um comprometimento mais amplo do sistema. As organizações devem aplicar os patches prontamente e verificar se suas instalações do .NET foram atualizadas para as versões corrigidas mais recentes.
Manipulação de Arquivo via Bypass de Resolução de Links (CVE-2026-45491)
- A resolução inadequada de links permite que atacantes gravem arquivos fora dos diretórios de extração pretendidos
- Um atacante local pode realizar manipulação de arquivo não autorizada no sistema alvo
- Afeta o tratamento de arquivo do .NET durante a extração de arquivo e operações similares
- O risco é elevado em cenários de hospedagem compartilhada ou implantação multi-tenant
Negação de Serviço via Tratamento de Array do MessagePack (CVE-2026-45591)
- Arrays MessagePack profundamente aninhados causam consumo excessivo de recursos no runtime do .NET
- Um atacante pode desencadear negação de serviço criando dados serializados maliciosos
- Impacta aplicações que desserializam payloads MessagePack não confiáveis
- Pode levar a travamentos de aplicação ou indisponibilidade de serviço
Remediação e Melhores Práticas
- Aplique as atualizações de segurança USN-8420-1 imediatamente em todas as implantações do .NET
- Valide o comportamento de resolução de links em código de extração de arquivo personalizado
- Implemente validação de entrada e limites de tamanho para desserialização do MessagePack
- Monitore tentativas de exploração direcionadas a operações do sistema de arquivos
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.