MS15-064:Microsoft Exchange Server の権限昇格可能な脆弱性(3062157)
medium Nessus プラグイン ID 84085
Language:
概要
リモート Microsoft Exchange サーバーは、複数の脆弱性の影響を受けます。説明
リモートの Microsoft Exchange サーバーにセキュリティ更新がありません。したがって、以下の複数の脆弱性による影響を受けます:- 同一生成元ポリシーの不適切な管理により、Microsoft Exchange の Web アプリケーションにサーバー側のリクエスト偽造の脆弱性が存在します。攻撃者はこれを悪用して、特別に細工された Web アプリケーションを使用することで、さらなる攻撃を仕掛けることができます。(CVE-2015-1764)
- ユーザーセッションの不適切な管理により、Microsoft Exchange の Web アプリケーションにクロスサイトリクエスト偽造の脆弱性が存在します。リモートの攻撃者はこれを悪用して、ユーザーを騙して特別に細工された Web ページにアクセスさせることで、機密情報へのアクセス権を取得したり、ユーザーの ID を偽装したり、または悪意のあるコンテンツを被害者の Web ブラウザに注入したりすることができます。(CVE-2015-1771)
- ユーザー指定の HTML 文字列の不適切なサニタイズにより、Microsoft Exchange の Web アプリケーションに HTML 注入の脆弱性が存在します。リモートの攻撃者はこれを悪用して、HTML サニタイズを使用するターゲットサイトに細工されたスクリプトを送信し、サイトにアクセスするユーザーのセキュリティコンテキストで、悪意のあるコードを実行できます。(CVE-2015-2359)
ソリューション
Microsoft は、Exchange 2013 用の一連のパッチをリリースしています。参考資料
プラグインの詳細
深刻度: Medium
ID: 84085
ファイル名: smb_nt_ms15-064.nasl
バージョン: 1.12
タイプ: local
エージェント: windows
公開日: 2015/6/10
更新日: 2021/4/20
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2015-1764
脆弱性情報
CPE: cpe:/a:microsoft:exchange_server
必要な KB アイテム: SMB/MS_Bulletin_Checks/Possible
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/6/9
脆弱性公開日: 2015/6/9
参照情報
CVE: CVE-2015-1764, CVE-2015-1771, CVE-2015-2359
MSFT: MS15-064
MSKB: 3062157