🔒 Security & Privacy

Экстренный патч Microsoft для ASP.NET Core: как ошибочная подпись открыла чёрный ход

Тихая угроза нависла над приложениями ASP.NET Core, работающими на Linux и macOS, из-за глубоко ошибочной проверки криптографических подписей. Экстренный патч от Microsoft подчёркивает фундаментальную проблему в том, как устанавливается доверие в современных веб-фреймворках.

Open Source Beat Apr 24, 2026 3 min read
Read in: English 日本語 한국어 Русский Türkçe
Крупный план стойки серверов с мигающими индикаторами, символизирующими цифровую инфраструктуру.

⚡ Key Takeaways

  • Критическая уязвимость (CVE-2026-40372) в пакете `DataProtection` ASP.NET Core позволяла неаутентифицированным злоумышленникам получать ПРИВИЛЕГИИ SYSTEM на Linux и macOS. 𝕏
  • Сбой заключался в ошибке проверки криптографических подписей, что позволило атакующим подделывать аутентификационные полезные нагрузки и выдавать легитимно подписанные токены. 𝕏
  • Даже после установки патча поддельные учётные данные могут оставаться действительными, если кольцо ключей DataProtection не будет ротировано, создавая постоянный риск. 𝕏
  • Инцидент подчёркивает важность тщательного аудита безопасности криптографических компонентов в рамках open source-фреймворков, особенно по мере их распространения на разные платформы. 𝕏
Written by

Sarah Chen

AI research editor covering LLMs, benchmarks, and the race between frontier labs. Previously at MIT CSAIL.

#Microsoft #asp.net core #security patch #vulnerability
More in Security & Privacy →

Worth sharing?

Get the best Open Source stories of the week in your inbox — no noise, no spam.

Originally reported by Ars Technica - Tech

Related Stories

📬

Stay in the loop

The week's most important stories from Open Source Beat, delivered once a week.

No spam. Unsubscribe any time.