DFN-CERT-2016-0057 Microsoft Exchange Server: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Skriptcodes [Windows]

DFN-CERT-2016-0057 Microsoft Exchange Server: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Skriptcodes [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft Exchange Server 2013 Cumulative Update 10
Microsoft Exchange Server 2013 Cumulative Update 11
Microsoft Exchange Server 2013 SP1
Microsoft Exchange Server 2016

Betroffene Plattformen:

Microsoft Windows

Mehrere Spoofing-Schwachstellen im Microsoft Exchange Server ermöglichen
einem entfernten, einfach authentifizierten Angreifer das Ausführen
beliebigen Skriptcodes und das Ausspähen von Informationen.

Patch:

Microsoft Sicherheitshinweise MS16-010 (Microsoft Exchange Server)

https://technet.microsoft.com/de-DE/library/security/MS16-010

CVE-2016-0032: Spoofing-Schwachstelle im Exchange Server ermöglicht u.a.
Ausführen beliebigen Skriptcodes

Es existiert eine Spoofing-Schwachstelle im Microsoft Exchange Server, in
den Versionen 2013 Service Pack 1, 2013 Cumulative Update 10, 2013
Cumulative Update 11 und 2016, wenn die ordnungsgemäße Behandlung einer
Webanfrage im Outlook Web Access (OWA) fehlschlägt. Ein entfernter, einfach
authentifizierter Angreifer kann durch das Ausnutzen der Schwachstelle, wenn
er einen Benutzer dazu verleitet einem bösartigen Link zu folgen, Skripte
oder Inhalte injizieren und versuchen einen Benutzer dazu zu verleiten,
sensitive Informationen offenzulegen.

CVE-2016-0030: Spoofing-Schwachstelle im Exchange Server ermöglicht u.a.
Ausführen beliebigen Skriptcodes

Es existiert eine Spoofing-Schwachstelle im Microsoft Exchange Server, in
den Versionen 2013 Service Pack 1, 2013 Cumulative Update 10 und 2016, wenn
die ordnungsgemäße Behandlung einer Webanfrage im Outlook Web Access (OWA)
fehlschlägt. Ein entfernter, einfach authentifizierter Angreifer kann durch
das Ausnutzen der Schwachstelle, wenn er einen Benutzer dazu verleitet einem
bösartigen Link zu folgen, Skripte oder Inhalte injizieren und versuchen
einen Benutzer dazu zu verleiten, sensitive Informationen offenzulegen.

CVE-2016-0029 CVE-2016-0031: Spoofing-Schwachstellen im Exchange Server
ermöglichen u.a. Ausführen beliebigen Skriptcodes

Es existieren zwei Spoofing-Schwachstellen im Microsoft Exchange Server
2016, wenn die ordnungsgemäße Behandlung einer Webanfrage im Outlook Web
Access (OWA) fehlschlägt. Ein entfernter, einfach authentifizierter
Angreifer kann durch das Ausnutzen der Schwachstelle, wenn er einen Benutzer
dazu verleitet einem bösartigen Link zu folgen, Skripte oder Inhalte
injizieren und versuchen einen Benutzer dazu zu verleiten, sensitive
Informationen offenzulegen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0057/

Microsoft Sicherheitshinweise MS16-010 (Microsoft Exchange Server):
https://technet.microsoft.com/de-DE/library/security/MS16-010

Schwachstelle CVE-2016-0029 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0029

Schwachstelle CVE-2016-0030 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0030

Schwachstelle CVE-2016-0031 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0031

Schwachstelle CVE-2016-0032 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0032

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben