[Warning] Security Advisory für Microsoft Exchange Server
Stephan Richter
richter at cert.at
Wed Jun 20 19:18:37 CEST 2018
20. Juni 2018
Beschreibung
Microsoft hat anlässlich des Quartals-Updates für Microsoft Exchange
Server ein Security Advisory sowie Sicherheitsupdates für Elemente
der "Outside In" Libraries von Oracle veröffentlicht, die in Microsoft
Exchange Server enthalten sind.
Durch diese Patches werden drei Schwachstellen geschlossen.
CVE-Nummern: CVE-2018-2768, CVE-2018-2801, CVE-2018-2806
Details
Das Ausnützen der Sicherheitslücken ermöglicht einem Angreifer
unautorisierten Zugriff auf Daten sowie partiellen Denial of Service
(DoS) der Oracle "Outside In" Komponenten.
Für einen erfolgreichen Angriff ist eine, nicht näher beschriebene,
"User Interaction" (Interaktion/Eingabe eines Benutzers) erforderlich.
Auswirkungen
Durch Ausnützen der Schwachstellen kann ein Angreifer unter Umständen
sensible Informationen auslesen sowie die Verfügbarkeit betroffener
Systeme beeinträchtigen.
Betroffene Systeme
Systeme mit folgenden Versionen von Microsoft Exchange Server:
* Microsoft Exchange Server 2010 Service Pack 3
* Microsoft Exchange Server 2013
* Microsoft Exchange Server 2016
Abhilfe
Einspielen der Patches gemäss der jeweiligen Prozesse bzw. Policies.
Workarounds sind nicht bekannt.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Advisory von Microsoft (englisch)
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180010
Advisory von Oracle (englisch)
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
Advisory von Public Safety Canada (englisch)
https://www.publicsafety.gc.ca/cnt/rsrcs/cybr-ctr/2018/av18-102-en.aspx
Microsoft Exchange Team Blog (englisch)
https://blogs.technet.microsoft.com/exchange/2018/06/19/released-june-2018-quarterly-exchange-updates/
CVE-Einträge bei MITRE (englisch)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2768
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2801
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2806
--
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20180620/d6a3f354/attachment-0001.sig>
More information about the Warning
mailing list