検出

プラグイン

Microsoft SharePoint ServerおよびMicrosoft Project Serverのセキュリティ更新プログラム（2018年5月）

high Nessus プラグイン ID 109616

Language:

概要

リモートホストのMicrosoft SharePoint ServerまたはMicrosoft Project Serverインストールは、複数の脆弱性の影響を受けます。

説明

リモートホストのMicrosoft SharePoint ServerまたはMicrosoft Project Serverインストールにセキュリティ更新プログラムがありません。したがって、以下の複数の脆弱性による影響を受けます：- Microsoft SharePoint Serverが、影響を受けるSharePoint Serverに対する特別に細工されたWebリクエストを適切にサニタイズしないとき、権限昇格の脆弱性があります。認証されていない攻撃者がこの脆弱性を悪用して、影響を受けるSharePoint Serverに特別に細工されたリクエストを送信する可能性があります。この脆弱性の悪用に成功した攻撃者が、影響を受けるシステムにクロスサイトスクリプティング攻撃を仕掛け、現在のユーザーのセキュリティコンテキストでスクリプトを実行する可能性があります。攻撃者が、読み取り許可が与えられていないコンテンツを読んだり、被害者の身分情報を利用し、被害者になりすましてSharePointサイトでアクション（アクセス許可の変更やコンテンツの削除など）を実行したり、ユーザーのブラウザーに悪意のあるコンテンツを挿入したりする可能性があります。このセキュリティ更新プログラムでは、SharePoint ServerがWebリクエストを適切にサニタイズできるようにすることにより、この脆弱性に対処しています。（CVE-2018-8149、CVE-2018-8155、CVE-2018-8156、CVE-2018-8168）- ソフトウェアがメモリでオブジェクトを適切に処理できないとき、リモートでコードが実行される脆弱性がMicrosoft Officeソフトウェアにあります。脆弱性の悪用に成功した攻撃者が、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるシステムを乗っ取る可能性があります。攻撃者が、完全なユーザー権限で、プログラムのインストール、データの表示・変更・削除、または新規アカウントの作成を実行する可能性があります。（CVE-2018-8161）- メッセージを開くとき、情報漏えいの脆弱性がOutlookにあります。この脆弱性により、悪意のあるサイトに機密情報が開示される可能性があります。（CVE-2018-8160）

ソリューション

Microsoftはこの問題を解決するために、以下のセキュリティ更新プログラムをリリースしています。-KB4018388 -KB4022135 -KB4022130 -KB4018381 -KB3114889 -KB4018390 -KB4022145 -KB4018398

参考資料

http://www.nessus.org/u?0b7f20dd

http://www.nessus.org/u?f1c9bcbe

http://www.nessus.org/u?88fa1a5e

http://www.nessus.org/u?aa122164

http://www.nessus.org/u?a3a05613

http://www.nessus.org/u?861c0e32

http://www.nessus.org/u?66287670

http://www.nessus.org/u?f352ea51

プラグインの詳細

深刻度: High

ID: 109616

ファイル名: smb_nt_ms18_may_office_sharepoint.nasl

バージョン: 1.7

タイプ: local

エージェント: windows

ファミリー: Windows : Microsoft Bulletins

公開日: 2018/5/8

更新日: 2024/6/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 6.9

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2018-8161

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:microsoft:sharepoint_server:2010, cpe:/a:microsoft:sharepoint_foundation, cpe:/a:microsoft:project_server, cpe:/a:microsoft:sharepoint_server:2013, cpe:/a:microsoft:sharepoint_server:2016, cpe:/a:microsoft:office

必要な KB アイテム: SMB/MS_Bulletin_Checks/Possible

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/5/8

脆弱性公開日: 2018/5/8

参照情報

CVE: CVE-2018-8149, CVE-2018-8155, CVE-2018-8156, CVE-2018-8160, CVE-2018-8161, CVE-2018-8168

IAVA: 2018-A-0151-S

MSFT: MS18-3114889, MS18-4018381, MS18-4018388, MS18-4018390, MS18-4018398, MS18-4022130, MS18-4022135, MS18-4022145

MSKB: 3114889, 4018381, 4018388, 4018390, 4018398, 4022130, 4022135, 4022145