Microsoft Dynamics 365（オンプレミス）用のセキュリティ更新プログラム（2020年9月）

high Nessus プラグイン ID 140429

Language:

概要

Microsoft Dynamics 365（オンプレミス）は複数の脆弱性の影響を受けます。

説明

Microsoft Dynamics 365（オンプレミス）にセキュリティ更新プログラムが適用されていません。したがって、以下の複数の脆弱性による影響を受けます。

- Microsoft Dynamics 365（オンプレミス）が、影響を受けるDynamicsサーバーに対する巧妙に作りこまれたWebリクエストを適切にサニタイズしないとき、クロスサイトスクリプティング脆弱性があります。認証された攻撃者が、影響を受けるDynamicsサーバーに巧妙に作りこまれたリクエストを送信することで、この脆弱性を悪用する可能性があります。この脆弱性の悪用に成功した攻撃者が、影響を受けるシステムにクロスサイトスクリプティング攻撃を仕掛け、現行の認証されたユーザーのセキュリティコンテキストでスクリプトを実行する可能性があります。これらの攻撃者が、読み取り権限を持たないコンテンツを読み取ったり、被害者の資格情報を利用し、被害者になりすましてDynamicsサーバー内でアクションを実行したり（アクセス許可の変更やコンテンツの削除など）、ユーザーのブラウザに悪意のあるコンテンツを挿入したりする可能性があります。セキュリティ更新プログラムは、DynamicsサーバーがWebリクエストを適切にサニタイズするよう徹底することにより、この脆弱性に対処しています。（CVE-2020-16858、CVE-2020-16859、CVE-2020-16861、CVE-2020-16864、CVE-2020-16871、CVE-2020-16872、CVE-2020-16878）

- 影響を受けるDynamicsサーバーへのWebリクエストをサーバーが適切にサニタイズできないとき、Microsoft Dynamics 365（オンプレミス）にリモートコード実行の脆弱性があります。この脆弱性を悪用した攻撃者が、SQLサービスアカウントのコンテキストで任意のコードを実行する可能性があります。認証された攻撃者が、脆弱なDynamicsサーバーに巧妙に作りこまれたリクエストを送信することで、この脆弱性を悪用する可能性があります。セキュリティ更新プログラムは、Microsoft Dynamics 365（オンプレミス）がユーザー入力を検証およびサニタイズする方法を修正することにより、この脆弱性に対応します。（CVE-2020-16860、CVE-2020-16862）