Vulnerabilidad en CoreWCF (CVE-2024-28252)

CoreWCF es una adaptación del lado de servicio de Windows Communication Foundation (WCF) a .NET Core. Si tiene un servicio CoreWCF basado en NetFraming, se podrían consumir recursos adicionales del sistema si las conexiones se dejan establecidas en lugar de cerrarlas o cancelarlas. Hay dos escenarios en los que esto puede suceder. Cuando un cliente establece una conexión con el servicio y no envía datos, el servicio esperará indefinidamente a que el cliente inicie el protocolo de enlace de sesión de NetFraming. Además, una vez que un cliente ha establecido una sesión, si el cliente no envía ninguna solicitud durante el período de tiempo configurado en el enlace ReceiverTimeout, la conexión no se cierra correctamente como parte del aborto de la sesión. Los enlaces afectados por este comportamiento son NetTcpBinding, NetNamedPipeBinding y UnixDomainSocketBinding. Sólo NetTcpBinding tiene la capacidad de aceptar conexiones no locales. Las versiones actualmente compatibles de CoreWCF son v1.4.x y v1.5.x. La solución se puede encontrar en v1.4.2 y v1.5.3 de los paquetes CoreWCF. Se recomienda a los usuarios que actualicen. No existen workarounds para este problema.