Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 1.0 (14.08.2013):
Neues Advisory
Version 2.0 (15.08.2013):
Wiederveröffentlichung des Bulletin ohne das Update 2874216 für den
Microsoft Exchange Server 2013 Cumulative Update 1 und Microsoft Exchange
Server 2013 Cumulative Update 2, um ein Problem mit der Indizierung von
Inhalten zu vermeiden. Beachten Sie die Update FAQ für Details. Für
bereits erfolgte Updates wird ein Workaround beschrieben.
Betroffene Software:
Microsoft Exchange Server 2007 Service Pack 3
Microsoft Exchange Server 2010 Service Pack 2
Microsoft Exchange Server 2010 Service Pack 3
Microsoft Exchange Server 2013 Cumulative Update 1
Microsoft Exchange Server 2013 Cumulative Update 2
Betroffene Plattformen:
Alle Microsoft Windows Versionen, auf denen die verwundbare Software
lauffähig ist.
Ein entfernter Angreifer kann mehrere Schwachstellen im Microsoft Exchange
Server zur Ausführung beliebigen Codes mit den Rechten des LocalService
Accounts ausnutzen.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit, deren
Adressen dem Hersteller-Advisory entnommen werden können.
http://www.microsoft.com/technet/security/
CVE-2013-3781: Schwachstelle im Microsoft Exchange Server
In den vom Microsoft Exchange Server verwendeten Bibliotheken Oracle Outside
In ist eine Schwachstelle bezüglich der Data Loss Protection (DLP)
vorhanden. Ein entfernter Angreifer kann diese Schwachstelle durch eine
entsprechend konstruierte Datei ausnutzen, die über Outlook Web Access im
Browser dargestellt werden soll. Als Konsequenz der Schwachstelle kann ein
Denial of Service gegen den Server ausgelöst werden.
CVE-2013-3776: Schwachstelle im Microsoft Exchange Server
In den vom Microsoft Exchange Server verwendeten Bibliotheken Oracle Outside
In ist eine Schwachstelle bezüglich der Konvertierung von Dateien im E-Mail
Attachment für die Darstellung vorhanden. Ein entfernter Angreifer kann
diese Schwachstelle durch eine entsprechend konstruierte Datei ausnutzen,
die über Outlook Web Access im Browser dargestellt werden soll. Als
Konsequenz der Schwachstelle kann beliebiger Code mit den Rechten des
LocalService Accounts auf dem Server ausgeführt werden.
CVE-2013-2393: Schwachstelle im Microsoft Exchange Server
In den vom Microsoft Exchange Server verwendeten Bibliotheken Oracle Outside
In ist eine Schwachstelle bezüglich der Konvertierung von Dateien im E-Mail
Attachment für die Darstellung vorhanden. Ein entfernter Angreifer kann
diese Schwachstelle durch eine entsprechend konstruierte Datei ausnutzen,
die über Outlook Web Access im Browser dargestellt werden soll. Als
Konsequenz der Schwachstelle kann beliebiger Code mit den Rechten des
LocalService Accounts auf dem Server ausgeführt werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1480/
Das Hersteller Advisory:
http://technet.microsoft.com/en-us/security/bulletin/ms13-061
Schwachstelle CVE-2013-3781:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3781
Schwachstelle CVE-2013-3776:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3776
Schwachstelle CVE-2013-2093:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2093
Schwachstelle CVE-2013-2393:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2393
Update 2874216 bricht den Inhaltsindex für Exchange Server 2013:
http://support.microsoft.com/kb/2879739/
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
