Microsoft Exchange Client Access Server 資訊洩漏

high Nessus Plugin ID 77026

Synopsis

遠端郵件伺服器受到資訊洩漏弱點影響。

描述

Microsoft Exchange Client Access Server (CAS) 受到一個資訊洩漏弱點影響。未經驗證的遠端攻擊者可惡意利用此弱點,得知伺服器的內部 IP 位址。
攻擊者可傳送具有空主機標頭的特製 GET 要求至 Web 伺服器,進而在標頭回應中洩漏基礎系統的內部 IP 位址。

解決方案

在目前的版本中,僅修正了攻擊二 (反向代理伺服器/閘道)。套用廠商提供的最新修補程式。

另請參閱

http://foofus.net/?p=758

http://www.nessus.org/u?4eedfe2d

http://www.nessus.org/u?caaa19d8

Plugin 詳細資訊

嚴重性: High

ID: 77026

檔案名稱: exchange_ip_disclosure.nasl

版本: 1.7

類型: remote

代理程式: windows

系列: Windows

已發布: 2014/8/6

已更新: 2019/1/2

支持的傳感器: Nessus Agent

風險資訊

CVSS 評分資料來源: manual

CVSS 評分論據: Nvd score unavailable. information disclosure vulnerability.

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 4.2

媒介: AV:N/AC:L/Au:N/C:P/I:N/A:N

時間媒介: E:U/RL:U/RC:ND

CVSS v3

風險因素: High

基本分數: 7.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

弱點資訊

CPE: cpe:/a:microsoft:exchange_server

可輕鬆利用: No known exploits are available

由 Nessus 利用: true

弱點發布日期: 2014/8/1

參考資訊

BID: 69018