Exchangeのセキュリティ更新プログラム（2018年5月）

critical Nessus プラグイン ID 109684

Language:

概要

リモートホストにインストールされているMicrosoft Exchange Serverは、複数の脆弱性の影響を受けています。

説明

リモートホストにインストールされているMicrosoft Exchange Serverにはセキュリティ更新プログラムがありません。したがって、以下の複数の脆弱性による影響を受けます。- Microsoft Exchangeがメモリでオブジェクトを不適切に処理するとき、情報漏えいの脆弱性があります。この脆弱性の悪用に成功した攻撃者は、リモートシステムをさらに侵害する情報を取得する可能性があります。（CVE-2018-8151）- ソフトウェアがメモリでオブジェクトを適切に処理できないとき、リモートでコードが実行される脆弱性がMicrosoft Exchangeソフトウェアにあります。脆弱性の悪用に成功した攻撃者が、システムユーザーのコンテキストで任意のコードを実行する可能性があります。攻撃者はプログラムのインストール、データの表示、変更、削除、または新規アカウントの作成をする可能性があります。この脆弱性を悪用するには、特別に細工されたメールを脆弱なExchangeサーバーに送信する必要があります。セキュリティ更新プログラムは、Microsoft Exchangeがメモリでオブジェクトを処理する方法を修正することにより、脆弱性に対応します。（CVE-2018-8154）- Microsoft Exchange Outlook Web Access （OWA）がWebリクエストを適切に処理できないとき、権限の昇格の脆弱性があります。脆弱性の悪用に成功した攻撃者が、スクリプト/コンテンツインジェクション攻撃を行い、秘密情報を漏えいするようユーザーを誘導する可能性があります。（CVE-2018-8159）- Outlook Web Access（OWA）がWebリクエストを適切に処理できないとき、Microsoft Exchange Serverになりすましの脆弱性があります。脆弱性の悪用に成功した攻撃者が、スクリプトまたはコンテンツインジェクション攻撃を仕掛け、秘密情報を漏えいするようにユーザーを誘導する可能性があります。また、攻撃者はコンテンツを偽装したり、Webサービスの他の脆弱性と攻撃を連鎖させたりする悪意のあるWebサイトにユーザーをリダイレクトする可能性があります。（CVE-2018-8153）- Microsoft Exchange Outlook Web Access （OWA）がWebリクエストを適切に処理できないとき、権限の昇格の脆弱性があります。脆弱性の悪用に成功した攻撃者が、スクリプト/コンテンツインジェクション攻撃を行い、秘密情報を漏えいするようユーザーを誘導する可能性があります。（CVE-2018-8152）