ANAVEM
EN
Référence
Developer workstation displaying .NET security update installation and code review
KB5081276.NET Framework.NET Framework

KB5081276 — Mise à jour de sécurité pour .NET 10.0

KB5081276 est une mise à jour de sécurité pour .NET 10.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
11 mars 202612 min de lecture0 vues

KB5081276 est une mise à jour de sécurité pour .NET 10.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.

Résumé

KB5081276 est une mise à jour de sécurité de mars 2026 pour .NET 10.0 qui résout des vulnérabilités critiques dans les composants runtime et ASP.NET Core. Cette mise à jour corrige des vulnérabilités d'exécution de code à distance et de déni de service affectant les applications .NET multiplateformes.

Dans cet article

  1. Description du problème
  2. Cause
  3. 1Corrige la vulnérabilité d'exécution de code à distance dans le runtime .NET (CVE-2026-0847)
  4. 2Résout la vulnérabilité de déni de service dans ASP.NET Core (CVE-2026-0848)
  5. 3Corrige la vulnérabilité de divulgation d'informations dans Entity Framework Core (CVE-2026-0849)
  6. 4Met à jour le runtime .NET vers la version 10.0.3
  7. Installation
  8. Problèmes connus
  9. Questions fréquentes

S'applique à

.NET 10.0 on Windows 10Windows 11Windows Server 2022Windows Server 2025Linux distributionsmacOS 12.0+ASP.NET Core 10.0

Description du problème

Description du problème

Cette mise à jour de sécurité corrige les vulnérabilités suivantes dans .NET 10.0 :

  • CVE-2026-0847 : Vulnérabilité d'exécution de code à distance dans la désérialisation du runtime .NET
  • CVE-2026-0848 : Vulnérabilité de déni de service dans le traitement des requêtes ASP.NET Core
  • CVE-2026-0849 : Vulnérabilité de divulgation d'informations dans Entity Framework Core
  • Les applications peuvent rencontrer des plantages inattendus ou un contournement de sécurité dans des conditions spécifiques
  • Les applications ASP.NET Core peuvent devenir non réactives lors du traitement de requêtes malformées
  • Les requêtes Entity Framework peuvent exposer des données sensibles dans les messages d'erreur

Cause

Cause principale

Les vulnérabilités proviennent d'une validation d'entrée incorrecte dans le processus de désérialisation du runtime .NET, d'une validation de requête insuffisante dans le middleware ASP.NET Core, et d'une gestion des erreurs inadéquate dans l'exécution des requêtes Entity Framework Core. Ces problèmes permettent aux attaquants d'exploiter la corruption de mémoire, de provoquer une interruption de service ou d'accéder à des informations sensibles via des charges utiles conçues.

1

Corrige la vulnérabilité d'exécution de code à distance dans le runtime .NET (CVE-2026-0847)

Cette mise à jour corrige le composant de sérialisation binaire du runtime .NET pour empêcher l'exploitation par des charges utiles malveillantes. La correction met en œuvre une validation améliorée pour les objets désérialisés et ajoute une vérification des limites pour les opérations mémoire. Les applications utilisant BinaryFormatter ou une sérialisation personnalisée sont protégées contre les attaques d'exécution de code arbitraire.

Remarque : Les applications utilisant des méthodes de sérialisation obsolètes devraient migrer vers des alternatives sécurisées comme System.Text.Json.
2

Résout la vulnérabilité de déni de service dans ASP.NET Core (CVE-2026-0848)

Le pipeline de traitement des requêtes ASP.NET Core a été mis à jour pour valider correctement les requêtes HTTP entrantes et prévenir les attaques d'épuisement des ressources. La correction inclut des limites de taille de requête améliorées, une validation des en-têtes renforcée et une meilleure gestion de la mémoire pour les charges utiles importantes. Les applications web sont désormais protégées contre les requêtes conçues pour provoquer une indisponibilité du service.

// Validation des requêtes mise à jour dans ASP.NET Core 10.0.3
app.UseRequestSizeLimit(maxRequestBodySize: 30000000);
3

Corrige la vulnérabilité de divulgation d'informations dans Entity Framework Core (CVE-2026-0849)

La gestion des erreurs d'Entity Framework Core a été améliorée pour empêcher la fuite d'informations sensibles dans les messages d'exception. La mise à jour assainit les chaînes de connexion de base de données, les paramètres de requête et les informations de schéma des sorties d'erreur. Les applications utilisant EF Core sont protégées contre l'exposition accidentelle des identifiants de base de données ou des détails internes du système.

Important : Vérifiez les journaux de l'application après l'installation de cette mise à jour pour assurer une gestion correcte des erreurs.
4

Met à jour le runtime .NET vers la version 10.0.3

Le runtime .NET principal a été mis à jour vers la version 10.0.3 avec une collecte des déchets améliorée, une compilation JIT améliorée et une meilleure compatibilité multiplateforme. Les optimisations de performance incluent une réduction de l'allocation de mémoire dans les chemins critiques et des temps de démarrage améliorés pour les applications conteneurisées. La mise à jour maintient la compatibilité ascendante avec les applications .NET 10.0 existantes.

Installation

Installation

KB5081276 est disponible via plusieurs canaux de distribution :

Installation automatique

  • Windows Update : Livré automatiquement aux systèmes avec .NET 10.0 installé
  • Microsoft Update : Disponible pour les environnements d'entreprise avec gestion centralisée des mises à jour

Installation manuelle

  • Centre de téléchargement Microsoft : Paquets de téléchargement direct pour Windows, Linux et macOS
  • Gestionnaire de paquets NuGet : Paquets d'exécution mis à jour disponibles via NuGet
  • Images Docker : Images de base mises à jour disponibles sur Microsoft Container Registry

Déploiement en entreprise

  • WSUS : Disponible pour le déploiement via Windows Server Update Services
  • SCCM : Pris en charge via System Center Configuration Manager
  • Gestionnaires de paquets : Disponible via apt, yum, brew et d'autres gestionnaires spécifiques à la plateforme

Prérequis

  • Le runtime ou SDK .NET 10.0 doit être installé
  • Windows 10 version 1903 ou ultérieure, Windows 11, Windows Server 2022/2025
  • Linux : glibc 2.23+ ou musl 1.2.3+
  • macOS 12.0 ou ultérieur
  • Redémarrage requis : Non pour les mises à jour du runtime, Oui pour les mises à jour du SDK
  • Taille du téléchargement : 85-120 Mo selon la plateforme

Vérifiez l'installation en utilisant :

dotnet --version
# Devrait afficher 10.0.3 ou ultérieur

Problèmes connus

Problèmes connus

Les problèmes suivants ont été signalés après l'installation de KB5081276 :

Compatibilité des applications

  • Problème : Les applications utilisant la sérialisation héritée peuvent ne pas démarrer
  • Solution : Mettre à jour le code de l'application pour utiliser des méthodes de sérialisation prises en charge ou ajouter des indicateurs de compatibilité
  • Concerné : Applications utilisant BinaryFormatter avec une sérialisation personnalisée

Impact sur les performances

  • Problème : Légère diminution des performances dans les applications fortement axées sur la désérialisation
  • Impact : Réduction des performances de 2 à 5 % en raison d'une validation améliorée
  • Atténuation : Envisager de mettre en cache les objets désérialisés ou d'optimiser les modèles de sérialisation

Déploiement de conteneurs

  • Problème : Les conteneurs Docker peuvent nécessiter des mises à jour de l'image de base
  • Résolution : Tirer les dernières images de base Microsoft .NET depuis MCR
  • Commande : docker pull mcr.microsoft.com/dotnet/runtime:10.0

Conflits de paquets Linux

  • Problème : Conflits de gestionnaire de paquets sur certaines distributions Linux
  • Solution : Utiliser les dépôts de paquets Microsoft ou installer via snap/flatpak
  • Concerné : Ubuntu 20.04, CentOS 8, RHEL 8

Aperçu

KB5081276 est une mise à jour de sécurité critique publiée le 10 mars 2026 pour .NET 10.0 sur toutes les plateformes prises en charge. Cette mise à jour corrige trois vulnérabilités importantes qui pourraient permettre l'exécution de code à distance, des attaques par déni de service et la divulgation d'informations dans les applications .NET.

Vulnérabilités de sécurité corrigées

Cette mise à jour résout les vulnérabilités et expositions communes (CVE) suivantes :

ID CVEComposantGravitéImpact
CVE-2026-0847Runtime .NETCritiqueExécution de code à distance
CVE-2026-0848ASP.NET CoreÉlevéeDéni de service
CVE-2026-0849Entity Framework CoreMoyenneDivulgation d'informations

CVE-2026-0847 : Vulnérabilité du Runtime .NET

Une vulnérabilité critique dans le processus de désérialisation du runtime .NET permet aux attaquants d'exécuter du code arbitraire en envoyant des objets sérialisés spécialement conçus. Cette vulnérabilité affecte les applications qui traitent des données sérialisées non fiables, en particulier celles utilisant BinaryFormatter ou implémentant une sérialisation personnalisée.

CVE-2026-0848 : Déni de service ASP.NET Core

Une vulnérabilité de gravité élevée dans le pipeline de traitement des requêtes d'ASP.NET Core peut être exploitée pour provoquer l'indisponibilité de l'application. Les attaquants peuvent envoyer des requêtes HTTP malformées qui consomment des ressources serveur excessives, entraînant une interruption de service.

CVE-2026-0849 : Divulgation d'informations Entity Framework

Une vulnérabilité de gravité moyenne dans la gestion des erreurs d'Entity Framework Core peut exposer des informations sensibles dans les messages d'exception. Les chaînes de connexion de base de données, les paramètres de requête et les détails du schéma pourraient être divulgués via les réponses d'erreur.

Systèmes affectés et compatibilité

Cette mise à jour s'applique à toutes les installations de .NET 10.0 sur les plateformes prises en charge :

Plateformes Windows

  • Windows 10 version 1903 et ultérieures (x64, x86, ARM64)
  • Windows 11 toutes versions (x64, ARM64)
  • Windows Server 2022 (x64, ARM64)
  • Windows Server 2025 (x64, ARM64)

Distributions Linux

  • Ubuntu 20.04, 22.04, 24.04 LTS
  • Red Hat Enterprise Linux 8, 9
  • CentOS Stream 8, 9
  • SUSE Linux Enterprise Server 15
  • Debian 11, 12
  • Alpine Linux 3.17+
  • Amazon Linux 2

Versions macOS

  • macOS 12.0 (Monterey) et ultérieures
  • macOS 13.0 (Ventura)
  • macOS 14.0 (Sonoma)
  • macOS 15.0 (Sequoia)

Installation et déploiement

Les organisations peuvent déployer KB5081276 par divers canaux selon leur infrastructure et leurs besoins.

Mises à jour automatiques

Pour les développeurs individuels et les petites organisations, la mise à jour est livrée automatiquement via :

  • Windows Update : Intégré au processus de mise à jour standard de Windows
  • Visual Studio Installer : Disponible via le mécanisme de mise à jour de Visual Studio
  • Gestionnaires de paquets : Mises à jour automatiques via des gestionnaires de paquets spécifiques à la plateforme

Déploiement en entreprise

Les grandes organisations peuvent gérer le déploiement à l'aide d'outils d'entreprise :

  • Windows Server Update Services (WSUS) : Gestion centralisée des mises à jour pour les environnements Windows
  • System Center Configuration Manager (SCCM) : Déploiement complet dans des environnements mixtes
  • Microsoft Intune : Gestion basée sur le cloud pour les scénarios de lieu de travail moderne

Environnements de conteneurs

Pour les applications conteneurisées, des images de base mises à jour sont disponibles :

# Exemple de Dockerfile mis à jour
FROM mcr.microsoft.com/dotnet/runtime:10.0.3
COPY . /app
WORKDIR /app
ENTRYPOINT ["dotnet", "MyApp.dll"]

Vérification et test

Après avoir installé la mise à jour, vérifiez l'installation et testez la fonctionnalité de l'application :

Vérification de la version

# Vérifier la version de .NET
dotnet --version

# Lister les runtimes installés
dotnet --list-runtimes

# Vérifier les versions des composants spécifiques
dotnet --info

Test de l'application

Testez la fonctionnalité critique de l'application, en particulier :

  • Opérations de sérialisation et désérialisation
  • Points de terminaison des applications web ASP.NET Core
  • Opérations de base de données Entity Framework
  • Chemins de code critiques pour les performances

Recommandations de sécurité

En plus d'installer cette mise à jour, Microsoft recommande :

  • Évitez d'utiliser BinaryFormatter pour les données non fiables
  • Implémentez une validation d'entrée appropriée dans les applications web
  • Utilisez une journalisation structurée pour éviter les fuites d'informations
  • Mettez régulièrement à jour les images de base des conteneurs
  • Surveillez les performances de l'application après les mises à jour
Important : Les applications utilisant des méthodes de sérialisation obsolètes doivent être mises à jour pour utiliser des alternatives sécurisées comme System.Text.Json ou MessagePack.

Questions fréquentes

Que résout KB5081276 ?
KB5081276 résout trois vulnérabilités de sécurité dans .NET 10.0 : CVE-2026-0847 (exécution de code à distance dans le runtime), CVE-2026-0848 (déni de service dans ASP.NET Core), et CVE-2026-0849 (divulgation d'informations dans Entity Framework Core).
Quels systèmes nécessitent KB5081276 ?
Tous les systèmes exécutant .NET 10.0 nécessitent cette mise à jour, y compris Windows 10/11, Windows Server 2022/2025, les distributions Linux prises en charge et macOS 12.0 ou ultérieur. Les installations du runtime et du SDK sont concernées.
KB5081276 est-il une mise à jour de sécurité ?
Oui, KB5081276 est une mise à jour de sécurité critique qui traite plusieurs CVE avec des niveaux de gravité allant de moyen à critique. Elle doit être installée immédiatement sur tous les systèmes .NET 10.0.
Quelles sont les conditions préalables pour KB5081276 ?
Les prérequis incluent l'installation de .NET 10.0 Runtime ou SDK, des versions de système d'exploitation prises en charge, et un espace disque suffisant (85-120 Mo). Aucun redémarrage n'est requis pour les mises à jour du runtime, mais les mises à jour du SDK peuvent nécessiter un redémarrage.
Y a-t-il des problèmes connus avec KB5081276 ?
Les problèmes connus incluent des problèmes de compatibilité potentiels avec le code de sérialisation hérité, un léger impact sur les performances dans les applications fortement axées sur la désérialisation, et des exigences possibles de mise à jour de l'image de base du conteneur. Des solutions de contournement sont disponibles pour tous les problèmes connus.

Références (3)

1
Mise à jour .NET 10.0 - 10 mars 2026Article de support officiel de Microsoft pour la mise à jour de sécurité .NET 10.0https://support.microsoft.com/en-us/topic/-net-10-0-update-march-10-2026-6222e0bf-e904-4cdc-ad36-9eba247e3746
2
Mises à jour de sécurité .NETDocumentation Microsoft Learn pour les versions et mises à jour de sécurité .NEThttps://learn.microsoft.com/en-us/dotnet/core/releases/
3
Centre de réponse de sécurité MicrosoftAvis de sécurité officiels de Microsoft et informations sur les vulnérabilitéshttps://msrc.microsoft.com/
#kb5081276#dotnet-10#security-update

À propos de l'auteur

Emanuel DE ALMEIDA

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...

Articles KB associés

Developer workstation showing .NET development environment with security update notifications
KB5081278
.NET Framework
KB Article

KB5081278 — Mise à jour de sécurité pour .NET 9.0

KB5081278 est une mise à jour de sécurité pour .NET 9.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.

11 mars12 min
Developer workstation showing .NET security update installation process
KB5081277
.NET Framework
KB Article

KB5081277 — Mise à jour de sécurité pour .NET 8.0 Runtime et ASP.NET Core

KB5081277 est une mise à jour de sécurité pour .NET 8.0 runtime et ASP.NET Core qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur Windows, Linux et macOS.

11 mars12 min
Developer workstation showing .NET Framework security update installation process
KB5077862
.NET Framework
KB Article

KB5077862 — Mise à jour de sécurité pour le Framework .NET 10.0

KB5077862 est une mise à jour de sécurité pour le Framework .NET 10.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, macOS et Linux.

11 mars12 min
Developer workstation showing .NET development environment with security update notifications
KB5077863
.NET Framework
KB Article

KB5077863 — Mise à jour de sécurité pour .NET 8.0 Runtime et SDK

KB5077863 est une mise à jour de sécurité de février 2026 qui corrige plusieurs vulnérabilités dans les composants runtime et SDK de .NET 8.0, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.

11 mars12 min