-
-
-
- Новости
- Услуги
- Сообщить об инциденте
- CERT
- Контакты
-
Un atacator ar putea rula de la distanță codul arbitrar pe Microsoft Exchange Server vulnerabil din cauza unei erori în procesul de procesare a obiectelor din memorie.
CVSS Scor de bază: 9.8 (critică). Sunt disponibile actualizări de securitate.
Exploatarea vulnerabilității necesită expedierea unui e-mail special creat către un server Exchange vulnerabil. Un atacator care a exploatat cu succes vulnerabilitatea ar putea executa un cod arbitrar în contextul utilizatorului sistemului.
Un atacator ar putea instala programe, vizualiza, modifica, șterge datele sau să creeze conturi noi. Nu este necesară autentificarea.
Un alt tip de amenințare permite unui utilizator autentificat să modifice datele de profil ale unui utilizator vizat prin expedierea cererii modificate către server.
Produsele afectate:
• Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 23
• Microsoft Exchange Server 2013 Cumulative Update 20, 21
• Microsoft Exchange Server 2016 Cumulative Update 9, 10
Sunt disponibile patch-uri pentru diferitele platforme afectate:
• KB4340731 (Microsoft Exchange Server 2013, 2016);
• KB4340733 (Microsoft Exchange Server 2010).
Orange Moldova CERT recomandă să aplicați patch-ul corespunzător pentru Microsoft Exchange.