2017-1618: Microsoft Exchange Server: Zwei Schwachstellen ermöglichen einen Cross-Site-Scripting-Angriff und das Ausspähen von Informationen

Historie:

Version 1 (2017-09-13 16:36)

Neues Advisory

Version 2 (2017-12-13 16:50)

Durch das Sicherheitsupdate 4036108 für die Schwachstellen CVE-2017-8758 und CVE-2017-11761 in Microsoft Exchange wurde ein Problem beim Teilen von Kalendern für Benutzer, die 'split DNS' verwenden, eingeführt. Microsoft stellt ein neues Sicherheitsupdate für Microsoft Exchange zur Verfügung, mit dem der Fix für die Schwachstellen wieder entfernt wird, um die ursprüngliche Funktionalität wiederherzustellen.

Betroffene Software

Middleware
Netzwerk

Betroffene Plattformen

Microsoft

Beschreibung:

Zwei Schwachstellen in Microsoft Exchange ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs gegen Benutzer und das Ausspähen von Informationen.

Microsoft stellt Sicherheitsupdates für Microsoft Exchange Server 2013 Service Pack 1, Microsoft Exchange Server 2013 Kumulatives Update 16 und 17 sowie Microsoft Exchange Server 2016 Kumulatives Update 5 und 6 zur Verfügung, um die Schwachstellen zu beheben. Die Sicherheitsupdates werden als „wichtig“ eingestuft.

Schwachstellen:

CVE-2017-11761

Schwachstelle in Microsoft Exchange ermöglicht Ausspähen von Informationen

CVE-2017-8758

Schwachstelle in Microsoft Exchange ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.