Exchange のセキュリティ更新プログラム (2019 年 7 月)

high Nessus プラグイン ID 126581

Language:

概要

リモートホストにインストールされている Microsoft Exchange Server は、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされているMicrosoft Exchange Serverにはセキュリティ更新プログラムがありません。したがって、以下の複数の脆弱性による影響を受けます。

- 影響を受けるExchange Serverに対する巧妙に細工されたWebリクエストをMicrosoft Exchange Serverが適切にサニタイズしないとき、クロスサイトスクリプティング (XSS) の脆弱性があります。認証された攻撃者が、影響を受けるサーバーに特別に細工されたリクエストを送信することで、この脆弱性を悪用する可能性があります。この脆弱性の悪用に成功した攻撃者が、影響を受けるシステムにクロスサイトスクリプティング攻撃を仕掛け、現行のユーザーのセキュリティコンテキストでスクリプトを実行する可能性があります。攻撃者が読み取り権限を持たないコンテンツを読み取ったり、被害者の資格情報を利用し、被害者になりすましてExchangeサーバーでアクションを実行したり (アクセス許可の変更やコンテンツの削除など) 、ユーザーのブラウザに悪意のあるコンテンツを挿入したりする可能性があります。このセキュリティ更新プログラムでは、Exchange ServerがWebリクエストに対して確実に適切なサニタイズを実行するようにすることで、この脆弱性に対応します。 (CVE-2019-1137)

- Exchangeが表示名に印刷不可能な文字を含むエンティティの作成を許可したとき、情報漏えいの脆弱性があります。認証された攻撃者が無効な表示名を持つエンティティを作成することによってこの脆弱性を悪用する可能性があります。このエンティティは会話に追加されたときには表示されません。このセキュリティ更新プログラムは、Microsoft Exchangeでの作成時に表示名を検証し、Microsoft Outlookクライアントで無効な表示名を正しく表示することでこの問題に対応します。
(CVE-2019-1084)

- Microsoft Exchange Serverに権限昇格の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、Exchangeサーバーの他のユーザーと同じ権限を取得する可能性があります。これにより、攻撃者が他のユーザーのメールボックスにアクセスするなどの操作を実行する可能性があります。この脆弱性を悪用するには、影響を受ける環境でExchange Webサービス (EWS) を有効にして使用する必要があります。
(CVE-2019-1136)