91百色国产视频|亚洲欧美伦理中文字幕在线|亚洲中文乱码在线|天堂影音av在线|国产激情人妻熟女|AV无码高清在线|超碰在线免费观看操|亚洲va中文字幕|欧美极品性爱四区|国产精品二区在线观看

官方公告

了解金山云最新公告

公告 > 安全公告 > Microsoft Exchange 多個(gè)高危漏洞
Microsoft Exchange 多個(gè)高危漏洞

2021-03-03 00:00:00

3月3日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到微軟發(fā)布了Microsoft Exchange Server的安全更新公告,修復(fù)了多個(gè)高危嚴(yán)重漏洞。

本次更新的漏洞影響面廣泛且風(fēng)險(xiǎn)等級(jí)較高,建議Exchange用戶(hù)及時(shí)升級(jí)到最新版本,避免遭受惡意攻擊。



漏洞描述


CVE-2021-26855:Microsoft Exchange SSRF漏洞

該漏洞評(píng)級(jí)為高危。該漏洞利用無(wú)需身份認(rèn)證,攻擊者可以Exchange server的身份發(fā)起任意HTTP請(qǐng)求,掃描內(nèi)網(wǎng),并且可以獲取Exchange用戶(hù)信息。

CVE-2021-26857:Unified Messaging service 反序列化漏洞

該漏洞評(píng)級(jí)為高危。該漏洞利用需要Exchange administrator權(quán)限或配合其他漏洞,攻擊者構(gòu)造惡意請(qǐng)求可觸發(fā)反序列化漏洞,從而在Exchange服務(wù)器上以SYSTEM身份執(zhí)行任意代碼。

CVE-2021-26858/27065:Exchange 任意文件寫(xiě)入漏洞

該漏洞評(píng)級(jí)為高危。攻擊者通過(guò)Exchange服務(wù)器進(jìn)行身份驗(yàn)證后,可利用此漏洞將文件寫(xiě)入服務(wù)器上的任何路徑。此漏洞也可與CVE-2021-26855組合利用。

的DNS緩存,進(jìn)而劫持任意域名。



影響版本


Microsoft Exchange 2013

Microsoft Exchange 2016

Microsoft Exchange 2019

Microsoft Exchange 2010



修復(fù)建議


微軟已發(fā)布安全更新,可參考以下鏈接進(jìn)行升級(jí)

CVE-2021-26855:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26857: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

CVE-2021-26858: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

CVE-2021-27065: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065


若不方便升級(jí),建議采用官方的臨時(shí)措施進(jìn)行防御:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/



參考鏈接:

[1 ]https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

[2]https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/





北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2021年3月3日




上一篇:【新功能】Elasticsearch服務(wù)-智能運(yùn)維上線(xiàn) 下一篇:【新功能】高防IP (KAD)-開(kāi)放OpenAPI接口