DFN-CERT-2017-1201 Microsoft Exchange Server: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Windows]

DFN-CERT-2017-1201 Microsoft Exchange Server: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft Exchange Server 2010 SP3
Microsoft Exchange Server 2013 Cumulative Update 16
Microsoft Exchange Server 2013 SP1
Microsoft Exchange Server 2016 Cumulative Update 5

Betroffene Plattformen:

Microsoft Windows

Zwei Schwachstellen in Microsoft Exchange ermöglichen einem entfernten,
nicht authentisierten Angreifer beliebigen Programmcode mit den Rechten des
angemeldeten Benutzers zur Ausführung zu bringen. Ein weitere Schwachstelle
ermöglicht einem entfernten, nicht authentisierten Angreifer falsche
Informationen darzustellen.

Microsoft hat Sicherheitsupdates bereitgestellt, welche diese Schwachstellen
beheben.

Patch:

Microsoft Security Update Guide

https://portal.msrc.microsoft.com/de-de/security-guidance

CVE-2017-8621: Schwachstelle in Microsoft Exchange ermöglicht Darstellung
falscher Informationen

Microsoft Exchange enthält eine ‘Open Redirect Schwachstelle’, die zur
Darstellung falscher Informationen ausgenutzt werden kann. Ein entfernter,
nicht authentisierter Angreifer kann einen Anwender, der auf einen speziell
gestalteten Link klickt, zur Preisgabe vertraulicher Informationen
verleiten.

CVE-2017-8559 CVE-2017-8560: Schwachstellen in Web Access ermöglichen
Cross-Site-Scripting-Angriffe

Zwei Schwachstellen in der Komponente Web Access (OWA) beruhen auf einer
fehlerhaften Verarbeitung von Anfragen. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstellen ausnutzen, wenn es ihm
gelingt einen Anwender zum Klicken auf einen speziell veränderten Link zu
verleiten, und in der Folge Programmcode mit den Rechten des Anwenders zur
Ausführung bringen oder vertrauliche Informationen ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1201/

Microsoft Security Update Guide:
https://portal.msrc.microsoft.com/de-de/security-guidance

Microsoft Juli 2017 Sicherheitspdates:
https://portal.msrc.microsoft.com/de-de/security-guidance/releasenotedetail/f2b16606-4945-e711-80dc-000d3a32fc99

Schwachstelle CVE-2017-8559 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8559

Schwachstelle CVE-2017-8560 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8560

Schwachstelle CVE-2017-8621 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8621

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben