Microsoft Security Bulletin MS15-036 – Wichtig
Sicherheitsrisiken in Microsoft SharePoint Server könnten rechteerweiterungen zulassen (3052044)
Veröffentlicht: 14. April 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Office-Server- und Produktivitätssoftware. Die Sicherheitsanfälligkeiten können die Rechteerweiterung zulassen, wenn ein Angreifer eine speziell gestaltete Anforderung an einen betroffenen SharePoint-Server sendet. Ein Angreifer, der die Sicherheitsanfälligkeiten erfolgreich ausgenutzt hat, könnte Inhalte lesen, die der Angreifer nicht lesen darf, die Identität des Opfers verwenden, um Aktionen auf der SharePoint-Website im Namen des Opfers auszuführen, z. B. Berechtigungen ändern und Inhalte löschen und schädliche Inhalte in den Browser des Opfers einfügen.
Dieses Sicherheitsupdate ist für unterstützte Editionen von Microsoft SharePoint Server 2010, Microsoft SharePoint Server 2013 und Microsoft SharePoint Foundation 2013 als wichtig eingestuft.
Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem sichergestellt wird, dass SharePoint Server benutzereingaben ordnungsgemäß sanitiert. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3052044.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Microsoft Server-Software
| Microsoft SharePoint Server | Komponente | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates |
|---|---|---|---|---|
| Microsoft SharePoint Server 2013 | ||||
| Microsoft SharePoint Server 2013 Service Pack 1 | Microsoft SharePoint Foundation 2013 Service Pack 1 (2965219) | Angriffe durch Rechteerweiterung | Wichtig | 2956153 in MS15-022 |
| Microsoft SharePoint Server 2013 Service Pack 1 | Microsoft SharePoint Server 2013 Service Pack 1 (2965219) | Angriffe durch Rechteerweiterung | Wichtig | 2956153 in MS15-022 |
Microsoft Office Services und Web-Apps
| Software | Komponente | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates |
|---|---|---|---|---|
| Microsoft SharePoint Server 2010 | ||||
| Microsoft SharePoint Server 2010 Service Pack 2 | Microsoft Project Server 2010 Service Pack 2 (2965302) | Angriffe durch Rechteerweiterung | Wichtig | 2863922 in MS14-022 |
| Microsoft SharePoint Server 2013 | ||||
| Microsoft SharePoint Server 2013 Service Pack 1 | Microsoft Project Server 2013 Service Pack 1 (2965278) | Angriffe durch Rechteerweiterung | Wichtig | 2760236 in MS14-022 |
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, finden Sie im Bulletinzusammenfassung vom April den Exploitability Index.
Microsoft Server-Software
| Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | |||
|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in Microsoft SharePoint XSS – CVE-2015-1640 | Sicherheitsanfälligkeit in Microsoft SharePoint XSS – CVE-2015-1653 | Bewertung des aggregierten Schweregrads |
| Microsoft SharePoint Server 2010 | |||
| Microsoft Project Server 2010 Service Pack 2 | Wichtig \ Rechteerweiterung (2965302) | Nicht zutreffend | Wichtig |
| Microsoft SharePoint Server 2013 | |||
| Microsoft SharePoint Foundation 2013 Service Pack 1 | Nicht zutreffend | Wichtig \ Rechteerweiterung (2965219) | Wichtig |
| Microsoft Project Server 2013 Service Pack 1 | Wichtig \ Rechteerweiterung (2965278) | Nicht zutreffend | Wichtig |
| Microsoft SharePoint Server 2013 Service Pack 1 | Nicht zutreffend | Wichtig \ Rechteerweiterung (2965219) | Wichtig |
Informationen zu Sicherheitsrisiken
Mehrere SharePoint-XSS-Sicherheitsrisiken
Rechteerweiterungsrisiken sind vorhanden, wenn SharePoint Server eine speziell gestaltete Anforderung an einen betroffenen SharePoint-Server nicht ordnungsgemäß sanitiert. Ein authentifizierter Angreifer kann diese Sicherheitsrisiken ausnutzen, indem eine speziell gestaltete Anforderung an einen betroffenen SharePoint-Server gesendet wird. Der Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausgenutzt hat, kann dann websiteübergreifende Skriptingangriffe auf betroffene Systeme ausführen und Skripts im Sicherheitskontext des aktuellen Benutzers ausführen. Diese Angriffe könnten es dem Angreifer ermöglichen, Inhalte zu lesen, die der Angreifer nicht lesen darf, die Identität des Opfers zu verwenden, um Aktionen auf der SharePoint-Website im Namen des Opfers auszuführen, z. B. Berechtigungen ändern und Inhalte löschen und schädliche Inhalte im Browser des Opfers einzugeben.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem sichergestellt wird, dass SharePoint Server benutzereingaben ordnungsgemäß sanitiert.
Microsoft hat Informationen zu den Sicherheitsrisiken durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsrisiken öffentlich für Angriffe auf Kunden verwendet wurden.
Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:
| Titel der Sicherheitsanfälligkeit | CVE-Nummer | Öffentlich offengelegt | Genutzt |
|---|---|---|---|
| Sicherheitsanfälligkeit in Microsoft SharePoint XSS | CVE-2015-1640 | No | No |
| Sicherheitsanfälligkeit in Microsoft SharePoint XSS | CVE-2015-1653 | No | No |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsrisiken identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsrisiken identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (14. April 2015): Bulletin veröffentlicht.
Seite generiert 2015-04-07 11:42Z-07:00.