bet356体育充值网站,Microsoft Exchange提出了几个无需身份验证交互即可触发的高风险漏洞

Home / 365bet注册在线 / bet356体育充值网站,Microsoft Exchange提出了几个无需身份验证交互即可触发的高风险漏洞

3月2日,Microsoft发布了Microsoft Exchange Server安全更新公告,其中包含Exchange Server中的几个关键“高风险”漏洞。漏洞编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065。
ExchangeServer是Microsoft Corporation的一组电子邮件服务组件,它是一个消息传递和协作系统,主要提供协作应用程序,包括电子邮件,会议日程,小组日程管理,任务管理,文档管理,实时会议和工作流。
漏洞详细信息CVE-2021-26855该漏洞是Exchange中的服务器端请求伪造(SSRF)漏洞。利用此漏洞的攻击者可以发送任意HTTP请求并绕过ExchangeServer身份验证。未经授权的远程攻击者可以利用此漏洞。窃取用户邮箱的所有内容。
危害:此漏洞是Exchange中的服务器端请求伪造(SSRF)漏洞,利用此漏洞的攻击者可以发送任意HTTP请求并绕过ExchangeServer身份验证,未经授权的远程攻击者可以使用此漏洞执行Intranet发现以窃取整个漏洞用户邮箱的内容。
CVE-2021-26857该漏洞是统一消息服务中的一个不安全的反序列化漏洞,该漏洞可能允许攻击者发送精心设计的恶意请求,以便在Exchange Server上以SYSTEM身份运行任意代码。
漏洞:此漏洞是统一消息服务中的不安全的反序列化漏洞。该漏洞可能允许攻击者发送精心设计的恶意请求,以在Exchange Server上以SYSTEM身份运行任意代码。
CVE-2021-26858漏洞是Exchange中的任何类型的文件写入漏洞。此漏洞需要身份验证。此漏洞允许将文件写入服务器上的任何路径。可以与使用漏洞CVE-2021-26855SSRF或绕过权限身份验证来写入文件结合使用。
危害:此漏洞是Exchange中的任何文件写入漏洞。此漏洞需要身份验证。此漏洞允许将文件写入服务器上的任何路径。可以与使用漏洞CVE-2021-26855SSRF或绕过权限身份验证来写入文件结合使用。
MicrosoftExchange2013的CVE-2021-27065范围
MicrosoftExchange2016
MicrosoftExchange2019
MicrosoftExchange2010
预防措施1. Microsoft已正式发布安全更新以解决上述安全漏洞。建议受影响的用户尽快升级到安全版本。可以从以下链接下载官方安全版本:
CVE-2021-26855:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-26857:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
CVE-2021-26858:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
CVE-2021-27065:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
2.如果无法及时升级,建议采取官方的临时防御措施: