微軟在
年
月的每月例行安全公告(MS
)中稱
Exchange Server
Outlook Web Access中存在一個允許跨站點腳本執行和欺騙攻擊的安全漏洞
此漏洞可能允許攻擊者在有漏洞的系統上運行惡意代碼
可以通過如下網址訪問
bin/cvename
cgi?name=CAN
詳細資料 沒有證據表明微軟在發布安全公告和升級補丁之前對這個漏洞發表過任何聲明
或將其威脅公諸於眾
此漏洞是由於Outlook Web Access驗證HTTP重定向查詢輸入(HTTP redirection query input)的一個方式上的弱點造成的
升級後可以糾正這個缺陷
微軟報告稱由於這個漏洞可能會使Web浏覽器的緩存和中間代理服務器的緩存中被插入欺騙數據
MBSA(Microsoft Baseline Security Analyzer)
版本提供更准確的安全更新檢測
另外SMS(Systems Management Server)也可以幫助您檢測和部署此安全更新
MS
更新替代微軟安全公告 MS
中提供的安全更新
適用性 受影響的是Microsoft Exchange Server
SP
而Microsoft Exchange
Server和Microsoft Exchange Server
不受影響
危害等級——中等 Microsoft把它的風險等級僅僅定為了中
因為受到威脅的服務沒有安裝到所有的Exchange上
而且風險到目前為止還沒有顯現出來
不過要注意Microsoft的風險等級判定不是依靠造成多大損害來判定的
如果你的系統是易受攻擊的
那麼任何遠程代碼執行的威脅對你的系統都是關鍵的
所以這種風險對那些在Exchange
上運行OWA的組織來說是有重大危險的
緩解因素 如果用戶使用SSL保護的連接來訪問Outlook Web Access
則不會因為將欺騙內容放在中間代理服務器緩存中而受到威脅
這是因為SSL會話數據是加密的
並且沒有緩存在中間代理服務器中
即使你匿名訪問OWA
也只有那些授權用戶才能利用這個漏洞為自己謀利
修復和應用 在應用補丁之前你應該先安裝Exchange
Service Pack
如果Outlook Web Access不需要
你可以移除它
那樣會降低風險性
詳細的指令參見知識庫文章
另一個工作環境是通過Exchange管理員禁用OWA
你需要對每個Exchange站點進行這樣的操作
最後的話 我一直認為微軟公司應該使用一個不同的弱點評估體系來顯示所有微軟以前評估過的單獨的因素
而今天我們看到的這個評介體系是簡單的
但卻不能傳達更多的信息
如果你沒有安裝一個受到影響的系統
那你的風險等級是零
但是如果你有一個易受攻擊的系統
那麼這時的危險等級很可能是高的
而這同一個缺陷經過全面評估後就被定為中等
以下是在多方面考慮的基礎上評估攻擊的等級
使用危險(Exploit danger)
關鍵性的
公諸於眾的廣泛程度
低
使用時被發現的可能性
低
潛在影響系統的數量
低
如果遵循最優的方法實行的風險
低
綜合危險(Overall risk)
中等
我推薦Microsoft采用這種方法來評定風險的等級
同樣
我認為不得不提醒那些重要的管理員
至少每年對微軟發放這些補丁和關聯的知識庫文章給予更多的信任
我沒有內部報告
但我會查看附加在安全公告末尾的免責聲明
微軟在Knowledge Base裡提供的信息是
如同
沒有任何擔保
微軟放棄了所有擔保
甚至是諸如此類的表述或暗示
包括產品規格和適用於某些特殊場合
在任何條件下
微軟及其供應商都不會對你的損害負責
不管是直接的
間接的
偶然的
必然的
商業利益的損失或特殊破壞
即使微軟及其供應商考慮到了這些損害
現在
我不是一個律師
並且在這個領域也沒有野心
但是我確實知道這
如同
你買了一部二手車
在微軟對所有危險的放棄責任時
還有一點重要要注意
就是這些威脅甚至是他們已知的
也就是說
要記住你是在你自己的系統上確定安裝的這些補丁能正常工作
但安裝了這些補丁不能保證對你網絡的其它部分不會造成破壞
From:http://tw.wingwit.com/Article/os/fwq/201311/10276.html
