Boletines de Vulnerabilidades |
Vulnerabilidad en Microsoft Exchange y FAST Search Server 2010 para SharePoint |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
Microsoft Exchange Server 2007 Service Pack 3 Microsoft Exchange Server 2010 Service Pack 1 Microsoft Exchange Server 2010 Service Pack 2 Microsoft SharePoint Server 2010 Service Pack 1 FAST Search Server 2010 for SharePoint |
Descripción |
|
Microsoft está investigando nuevos informes públicos de las vulnerabilidades en el código de terceros (aplicación Outside Oracle in Libraries), que afectan a Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 y FAST Search Server 2010 para SharePoint. En caso de que la vulnerabilidad sea explotada, el atacante, a través de un archivo especialmente manipulado, podría ejecutar cualquier proceso para el que el servidor tenga permisos (modificar, eliminar, etc). |
|
Solución |
|
Ejecutar el servicio de transcodificación en Exchange que utiliza Oracle Outside como servicio local (LocalService). Microsoft Sharepoint Server se ve afectado por esta vulnerabilidad únicamente cuando "FAST Search" está activado con el "Advanced Filter Pack", que por defecto se encuentra desactivado, por lo que si dejamos el servidor con esta configuración no se verá afectado. |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2012-1766 CVE-2012-1767 CVE-2012-1768 CVE-2012-1769 CVE-2012-1770 CVE-2012-1771 CVE-2012-1772 CVE-2012-1773 CVE-2012-3106 CVE-2012-3107 CVE-2012-3108 CVE-2012-3109 CVE-2012-3110 CVE-2012-1737 CVE-2012-1745 CVE-2012-1746 CVE-2012-1747 CVE-2012-3134 |
BID | |
Recursos adicionales |
|
Microsoft Security Advisory (2737111) http://technet.microsoft.com/en-us/security/advisory/2737111 Oracle Critical Patch Update Advisory - July 2012 http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2012-07-25 |