2014-1631: Microsoft Exchange Server Outlook Web App: Mehrere Schwachstellen ermöglichen Spoofing- und Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2014-12-10 19:50)

Neues Advisory

Version 2 (2014-12-11 10:54)

Microsoft hat ein Update der Sicherheitsmeldung herausgegeben und den Download Center Link für das MS Security Update 2986475 für den Microsoft Exchange Server 2010 Service Pack 3 entfernt, aufgrund von bekannt gewordenen Problemen mit diesem Update. Microsoft arbeitet an der Korrektur und empfiehlt allen Kunden, die dieses Update bereits installiert haben, eine Deinstallation vorzunehmen. (Derzeit ist diese Korrektur nur über die englische Seite sichtbar, Referenz anbei.)

Version 3 (2014-12-15 11:32)

Microsoft stellt das Sicherheitsupdate 2986475 für den Exchange Server 2010 Service Pack 3 jetzt erneut zur Verfügung. Das Problem in dem Originalupdate wurde behoben und Microsoft empfiehlt eine zeitnahe Installation des Updates.

Betroffene Software

Middleware
Netzwerk

Betroffene Plattformen

Microsoft

Beschreibung:

Mehrere Schwachstellen in der Outlook Web App Komponente von Microsoft Exchange Server ermöglichen einem entfernten, nicht authentifizierten Angreifer Spoofing- und Cross-Site-Scripting-Angriffe durchzuführen. Diese Schwachstellen betreffen jeweils verschiedene Versionen des Exchange Servers (siehe Microsoft Security Bulletin MS14-075 - Exchange Server OWA).

Schwachstellen:

CVE-2014-6319

Spoofing-Schwachstelle in Microsoft Exchange Server Outlook Web Access

CVE-2014-6325 CVE-2014-6326

Zwei Cross-Site-Scripting Schwachstellen in Microsoft Exchange Server Outlook Web Access

CVE-2014-6336

Spoofing-Schwachstelle in Microsoft Exchange Server Outlook Web Access

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.