A Microsoft 2026. április 21-én soron kívüli (out-of-band) biztonsági frissítést adott ki az ASP.NET Core keretrendszerhez, miután egy súlyos sebezhetőségre derült fény a macOS és Linux rendszereket futtató környezetekben. A hiba lehetővé teszi a támadók számára, hogy jogosulatlanul emelt szintű, akár SYSTEM jogosultságokat szerezzenek, megkerülve a szabványos hitelesítési protokollokat.
Veszélyben a nem Windows alapú szerverek
A CVE-2026-40372 azonosítóval ellátott sebezhetőség kritikus besorolást kapott, 9.1-es CVSS pontszámmal. A probléma gyökere az ASP.NET Core Data Protection kriptográfiai API-jaiban rejlik, ahol egy programozási hiba (úgynevezett regresszió) miatt a rendszer nem megfelelően ellenőrzi a digitális aláírásokat. Ez a hiba kifejezetten a macOS, Linux és Docker környezeteket érinti, míg a Windows alapú implementációk a jelentések szerint immunisak erre a specifikus támadási vektorra.
A biztonsági rés technikai háttere
A hiba a Microsoft.AspNetCore.DataProtection NuGet csomag 10.0.0 és 10.0.6 közötti verzióit érinti. A biztonsági rés kihasználásával a támadók hamisított hitelesítési sütiket (cookies) és antiforgery tokeneket hozhatnak létre. Mivel a keretrendszer hibásan végzi el a HMAC (Hash-based Message Authentication Code) ellenőrzést, a hamisított adatcsomagokat is érvényesnek fogadja el. Ezáltal egy külső, hitelesítéssel nem rendelkező támadó teljes körű adminisztrátori hozzáférést nyerhet a webalkalmazások felett.
Azonnali intézkedések és javítási protokoll
A Microsoft sürgősségi felhívásban kér minden fejlesztőt és rendszergazdát, hogy frissítsék az érintett csomagokat a 10.0.7-es verzióra. A javítás telepítése önmagában azonban nem elegendő a teljes biztonsághoz. Mivel a sebezhetőség fennállása alatt generált, hamisított tokenek a frissítés után is érvényesnek tűnhetnek, a következő lépések kötelezőek:
- A Microsoft.AspNetCore.DataProtection csomag frissítése a 10.0.7-es verzióra.
- A DataProtection kulcstartó (key ring) rotálása, hogy a korábban kiadott összes token érvénytelenné váljon.
- Az alkalmazás újratelepítése (redeploy) a frissített függőségekkel.
- A naplófájlok átvizsgálása gyanús, emelt szintű jogosultsággal végzett tevékenységek után a 2026. áprilisi Patch Tuesday óta eltelt időszakban.
Rendszerbiztonsági adatok összefoglalása
| Paraméter | Részletek |
|---|---|
| CVE Azonosító | CVE-2026-40372 |
| Érintett verziók | ASP.NET Core 10.0.0 – 10.0.6 |
| Javított verzió | ASP.NET Core 10.0.7 |
| Súlyossági pontszám | 9.1 (Kritikus) |
| Érintett platformok | macOS, Linux, Docker |
Magyarországi relevanciák
A hazai fintech és e-kereskedelmi szektorban elterjedt a .NET keretrendszer használata Linux alapú konténeres környezetekben (Kubernetes, Docker). A magyar fejlesztőcsapatoknak kiemelt figyelmet kell fordítaniuk a CI/CD pipeline-ok frissítésére, mivel a hibás 10.0.6-os verziót sokan automatikusan adoptálták az április eleji frissítési hullámban. A magyar kiberbiztonsági hatóságok is figyelemmel kísérik az eseményeket, javasolva a kritikus infrastruktúrák azonnali felülvizsgálatát.
Kilátások és jövőkép
Ez az incidens rávilágít a cross-platform keretrendszerek komplexitására. Bár a Microsoft gyorsan reagált, a hiba ténye, hogy egy hivatalos frissítés (10.0.6) vitte be a sérülékenységet a rendszerbe, bizalmi kérdéseket vet fel a 2026-os kiadási ciklusokkal kapcsolatban. A jövőben várhatóan szigorúbb automatizált tesztelési folyamatokat vezetnek be a nem Windows alapú runtime környezetek hitelesítési logikáira.
