【要約】Microsoft issues emergency update for macOS and Linux ASP.NET threat [Ars_Technica] | Summary by TechDistill
> Source: Ars_Technica
Execute Primary Source
// Problem
- ・
Microsoft.AspNetCore.DataProtection(v10.0.0-10.0.6) のHMAC検証に欠陥。 - ・認証なしで偽造ペイロードによる認証突破が可能。
- ・macOS/Linux環境において、SYSTEM権限を奪取されるリスク。
- ・パッチ適用後も、攻撃者が作成したトークンが有効なまま残る。
// Approach
1.
Microsoft.AspNetCore.DataProtection を 10.0.7 へ即時更新。2.DataProtection キーリングのローテーションを実施。
3.アプリケーション層の長寿命アーティファクト(セッション、APIキー、パスワードリセットリンク等)を監査し、更新する。
※Windows環境はデフォルトの暗号化方式が異なるため、影響を受けない。
// Result
- ・脆弱性(CVE-2026-40372)の修正。
- ・復号に関する回帰バグの解消。
- ・CVSSスコア 9.1 の深刻な脅威への対応。
Senior Engineer Insight
>
単なるライブラリ更新では不十分。鍵の更新と既存トークンの無効化という、二段構えの対応が不可欠だ。インフラ層だけでなく、アプリケーション層のセッション管理まで影響が及ぶ。Linux/Docker環境で.NETを運用する者は、即座に資産の監査を行うべき。パッチ適用後の「残留トークン」を見逃すと、攻撃を許し続けることになる。