Microsoft Team Foundation Server / Azure DevOps Server 的安全性更新 (2019 年 4 月)

high Nessus Plugin ID 123953

語系：

概要

遠端主機上安裝的 Microsoft Team Foundation Server 或 Azure DevOps Server 受到以下弱點影響：

說明

遠端主機上安裝的 Microsoft Team Foundation Server 或 Azure DevOps Server 缺少安全性更新。因此，會受到多個弱點影響：- 當 Azure DevOps Server 2019 未正確強制執行專案權限時，存在一個權限提升弱點。成功利用此弱點的攻擊者可以在其帳戶未獲得適當存取授權的情況下，新增 GitHub 存放庫至專案中。(CVE-2019-0875) - 存在一個偽造弱點，當 Team Foundation Server 未正確清理使用者提供的輸入時，其可能會導致繞過安全性功能。惡意利用該弱點的攻擊者可誘騙使用者載入含有惡意內容的頁面。經驗證的攻擊者可加以惡意利用傳送特製的裝載到 Team Foundation Server，每次當使用者造訪受入侵的網頁時，即會在使用者的內容中執行此裝載。(CVE-2019-0857) - 當 Microsoft Team Foundation Server 無法正確處理網路要求時，該伺服器中存在一個偽造弱點。成功利用此弱點的攻擊者可執行指令碼或內容插入攻擊，以及嘗試誘騙使用者洩漏敏感資訊。攻擊者也可以將使用者重新導向到可能是詐騙內容的惡意網站，或是利用弱點作為樞紐，將攻擊和網頁服務中其他弱點鏈結在一起。(CVE-2019-0869) - 當 Team Foundation Server 未正確清理使用者提供的輸入時，存在跨網站指令碼 (XSS) 弱點。經驗證的攻擊者可利用此弱點傳送特製的裝載到 Team Foundation Server，每次當使用者造訪受入侵的網頁時，即會在使用者的內容中執行此裝載。成功利用此弱點的攻擊者接著可在受影響的系統上執行跨網站指令碼攻擊，並在目前使用者的安全內容中執行指令碼。這些攻擊可允許攻擊者讀取未授權攻擊者讀取的內容、執行惡意程式碼，以及使用受害者的身分代表使用者在網站上採取動作，例如變更權限和刪除內容。此安全性更新可透過確保 Team Foundation Server 清理使用者輸入，解決此弱點。(CVE-2019-0866、CVE-2019-0867、CVE-2019-0868、CVE-2019-0870、CVE-2019-0871、CVE-2019-0874)

解決方案

Microsoft 已經發佈下列更新以解決這些問題：- Team Foundation Server 2015 Update 4.1 - Team Foundation Server 2017 Update 3.1 (含修補程式) - Team Foundation Server 2018 Update 1.2 (含修補程式) - Team Foundation Server 2018 Update 3.2 (含修補程式) - Azure DevOps Server 2019 RTW (含修補程式)。請參閱供應商指南，以判斷適用的版本和修補程式。