双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

關(guān)于Microsoft Exchange Server存在多個(gè)高危漏洞的安全公告

2021-03-08 14:28:00
安全公告編號(hào):CNTA-2021-0009

2021年3月4日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了Microsoft Exchange Server遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2021-14768、CNVD-2021-14769、CNVD-2021-14770,對(duì)應(yīng)CVE-2021-26854、CVE-2021-26412、CVE-2021-27078)、Microsoft Exchange Server任意文件寫入漏洞(CNVD-2021-14810、CNVD-2021-14811,對(duì)應(yīng)CVE-2021-27065、CVE-2021-26858)、Microsoft Exchange Server反序列化漏洞(CNVD-2021-14812,對(duì)應(yīng)CVE-2021-26857)、MicrosoftExchange Server請(qǐng)求偽造漏洞(CNVD-2021-14813,對(duì)應(yīng)CVE-2021-26855)。攻擊者綜合利用上述漏洞,可在未授權(quán)的情況遠(yuǎn)程執(zhí)行代碼。目前,部分漏洞細(xì)節(jié)已公開,微軟官方已發(fā)布新版本修復(fù)漏洞,建議用戶盡快更新至最新版本進(jìn)行修復(fù)。

一、漏洞情況分析

Exchange是微軟公司開發(fā)的一套電子郵件服務(wù)組件。Exchange不僅支持傳統(tǒng)的電子郵件的存取、儲(chǔ)存、轉(zhuǎn)發(fā)功能,新版本產(chǎn)品中還支持語(yǔ)音郵件、郵件過(guò)濾篩選和OWA等輔助功能。

2021年3月2日,微軟公司發(fā)布了關(guān)于Exchange 服務(wù)的緊急安全更新,修復(fù)了7個(gè)相關(guān)漏洞:1)Exchange 服務(wù)端請(qǐng)求偽造漏洞(CVE-2021-26855):未經(jīng)授權(quán)的攻擊者利用該漏洞,可發(fā)送任意HTTP請(qǐng)求并通過(guò)Exchange服務(wù)身份驗(yàn)證。2)Exchange反序列化漏洞(CVE-2021-26857):具有管理員(administrator)權(quán)限的攻擊者利用該漏洞通過(guò)發(fā)送惡意請(qǐng)求,實(shí)現(xiàn)在Exchange服務(wù)器上以SYSTEM身份的任意代碼執(zhí)行。該漏洞單獨(dú)利用須具備較高的前提條件。3)Exchange任意文件寫入漏洞(CVE-2021-26858/CVE-2021-27065):經(jīng)過(guò)Exchange服務(wù)身份驗(yàn)證的攻擊者,利用該漏洞,可實(shí)現(xiàn)對(duì)服務(wù)器的任意目錄文件寫入。4)Exchange遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-26412/CVE-2021-26854/CVE-2021-27078):攻擊者利用此漏洞,可獲得目標(biāo)服務(wù)器的權(quán)限,最終在服務(wù)器上的任意代碼執(zhí)行。

CNVD對(duì)上述兩個(gè)漏洞的綜合評(píng)級(jí)為“高?!?。

二、漏洞影響范圍

漏洞影響的產(chǎn)品版本包括:

Exchange Server 2013

Exchange Server 2016

Exchange Server 2019

Exchange Server 2010

CNVD組織技術(shù)支撐單位對(duì)MicrosoftExchange服務(wù)在我國(guó)境內(nèi)的分布情況進(jìn)行了分析統(tǒng)計(jì),數(shù)據(jù)顯示我國(guó)大陸地區(qū)共有27825個(gè)IP(IP端口)開啟了Exchange服務(wù)。我平臺(tái)以Exchange服務(wù)端請(qǐng)求偽造漏洞為例開展了漏洞普測(cè)工作,結(jié)果顯示我國(guó)大陸地區(qū)共有1466臺(tái)服務(wù)器(IP端口)存在該漏洞,受影響比例約為5.3%。

三、漏洞處置建議

目前,微軟公司已發(fā)布新版本修復(fù)上述漏洞,CNVD建議用戶立即升級(jí)至最新版本,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

 

感謝CNVD技術(shù)組支撐單位——北京知道創(chuàng)宇信息技術(shù)股份有限公司為本報(bào)告提供的數(shù)據(jù)支持。