15 marca 2017

Dziura w zabezpieczeniach Exchange

Wczoraj zespół produktowy Microsoft wydał biuletyn bezpieczeństwa,  https://technet.microsoft.com/library/security/MS17-015, dostępny również  na stronie pomocy technicznej, w nieco bardziejj rozwiniętej formie - https://support.microsoft.com/en-us/help/4013242/ms17-015-security-update-for-microsoft-exchange-server-march-14-2017, opisujący dziurę w systemach zabezpieczeń interface'u OWA, która pozwala na eskalację uprawnień.
Microsoft Server Software
Updates Replaced*
Important
Elevation of Privilege
3184736 in MS16-108
Important
Elevation of Privilege
3184736 in MS16-108
Important
Elevation of Privilege
3184736 in MS16-108
Podobne problemy dotyczą nie tylko Exchange, ale również innych aplikacji (przeglądarek, Hyper-V). W stosunku jednak do Exchange zagrożenie nie jest aż tak poważne jak można by podejrzewać. Najnowsze paczki zabezpieczeń CU15 dla Exchange 2013 i CU4 dla Exchange 2016 są bezpieczne, a lada moment możemy spodziewać się kolejnych aktualizacji (minął już kwartał od poprzedniej partii), które również zawierać będą poprawki łatające powyższą dziurę. Dlatego też warto aktualizować serwery Exchange na bieżąco, chociaż czasem wymaga to nieco czasu i cierpliwości.

Brak komentarzy: