DFN-CERT-2013-0289 Schwachstellen in Microsoft Exchange Server 2007 Service Pack 3 [Windows]

DFN-CERT-2013-0289 Schwachstellen in Microsoft Exchange Server 2007 Service Pack 3 [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft Exchange Server 2007 Service Pack 3
Microsoft Exchange Server 2010 Service Pack 2

Betroffene Plattformen:

Alle Microsoft Windows Versionen, auf denen der Exchange Server 2007 und
2010 läuft.

Ein entfernter Angreifer kann zwei Schwachstellen im WebReady Dienst des
Microsoft Exchange Servers ausnutzen, um einen Denial-of-Service-Angriff
gegen den Server durchzuführen oder um beliebige Befehle auf dem Server
auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit, deren
Adressen dem Hersteller-Advisory entnommen werden können.

http://www.microsoft.com/technet/security/

CVE-2013-0418: Schwachstelle im Microsoft Exchange Server

Der WebReady Dienst des Microsoft Exchange Servers verwendet die Oracle
Outside In Bibliotheken zur Bearbeitung von Dokumenten und ist deshalb von
deren Schwachstellen betroffen. Ein entfernter Angreifer kann einen
Buffer-Overflow auf dem Heap in einer Oracle Bibliothek (vspdx.dll)
ausnutzen, um beliebige Befehle auf dem Exchange Server mit den Rechten des
LocalService-Accounts auszuführen. Voraussetzung ist, dass der Benutzer eine
Datei des Angreifers durch Outlook Web Access im Browser lädt.

CVE-2013-0393: Schwachstelle im Microsoft Exchange Server

Der WebReady-Dienst des Microsoft Exchange Servers existiert verwendet die
Oracle Outside In Bibliotheken zur Bearbeitung von Dokumenten und ist
deshalb von deren Schwachstellen betroffen. Ein entfernter Angreifer kann
eine Schwachstellen ausnutzen, um einen Denial-of-Service-Angriff gegen den
Exchange Server durchzuführen. Voraussetzung ist, dass der Benutzer eine
Datei des Angreifers durch Outlook Web Access im Browser lädt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0289/

Das Hersteller Advisory:
http://technet.microsoft.com/en-us/security/bulletin/ms13-012

Schwachstelle CVE-2013-0418:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0418

Schwachstelle CVE-2013-0393:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0393

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben