Бюллетень по безопасности Майкрософт MS14-022 — критически важный
Уязвимости в Microsoft SharePoint Server могут разрешить удаленное выполнение кода (2952166)
Опубликовано: 13 мая 2014 г.
Версия: 1.0
Общие сведения
Краткий обзор
Это обновление системы безопасности разрешает несколько частных уязвимостей на сервере Microsoft Office и программном обеспечении для повышения производительности. Наиболее серьезные из этих уязвимостей могут разрешить удаленное выполнение кода, если прошедший проверку подлинности злоумышленник отправляет специально созданное содержимое страницы на целевой сервер SharePoint.
Это обновление системы безопасности имеет критически важное значение для поддерживаемых выпусков Microsoft SharePoint Server 2007, Microsoft SharePoint Server 2010, Microsoft SharePoint Server 2013, Microsoft Office веб-приложения 2010, Microsoft Office веб-приложения Server 2013, Microsoft SharePoint Services 3.0 и Microsoft SharePoint Foundation 2010, Microsoft SharePoint Foundation 2013, Microsoft SharePoint Designer 2007, Microsoft SharePoint Designer 2007, Microsoft SharePoint Foundation 2007 Конструктор 2010 и Microsoft SharePoint Designer 2013. Дополнительные сведения см. в разделе "Затронутое и не затронутое программное обеспечение".
Обновление системы безопасности устраняет уязвимости, исправляя, как SharePoint Server и веб-приложения очищают специально созданное содержимое страницы. Дополнительные сведения об уязвимостях см. в подразделе часто задаваемых вопросов (часто задаваемых вопросов) для конкретной уязвимости далее в этом бюллетене.
Рекомендация. Клиенты могут настроить автоматическое обновление до проверка в Интернете для обновлений из Центра обновления Майкрософт с помощью службы центра обновления Майкрософт. Клиенты, которые включили автоматическое обновление и настроили проверка в Сети для обновлений из Центра обновления Майкрософт, обычно не потребуется предпринять никаких действий, так как это обновление безопасности будет загружено и установлено автоматически. Клиентам, которые не включили автоматическое обновление, необходимо проверка для обновлений из Центра обновления Майкрософт и установить это обновление вручную. Сведения о конкретных параметрах конфигурации при автоматическом обновлении см. в статье базы знаний Майкрософт 294871.
Для администраторов и корпоративных установок или конечных пользователей, которые хотят установить это обновление вручную, корпорация Майкрософт рекомендует пользователям применять обновление при первой возможности с помощью программного обеспечения для управления обновлениями или проверка для обновлений с помощью службы центра обновления Майкрософт.
Обратите внимание на средства обнаружения SharePoint Server (такие как Microsoft Update, WSUS, МБ SA, SMS и System Center Configuration Manager) применимы для развертываний Microsoft SharePoint Server с одним сервером. Средства обнаружения не обнаруживают применимость обновлений в системах, настроенных в рамках фермы серверов SharePoint с несколькими системами. Рекомендации по применению обновлений к SharePoint Server см. в статье "Развертывание обновлений программного обеспечения для SharePoint 2013".
Примечание для Microsoft Office веб-приложения Server 2013 Применение обновлений office веб-приложения Server с помощью процесса автоматического обновления не поддерживается с сервером Office веб-приложения Server. Рекомендуемые инструкции по применению обновлений к серверу Office веб-приложения Server см. в статье "Применение обновлений программного обеспечения к серверу Office веб-приложения Server".
Статья базы знаний
- Статья базы знаний: 2952166
- Сведения о файле: Да
- Хэши SHA1/SHA2: Да
- Известные проблемы: Да
Затронутое и не затронутое программное обеспечение
Следующее программное обеспечение было проверено, чтобы определить, какие версии или выпуски затронуты. Другие версии или выпуски либо прошли жизненный цикл поддержки, либо не затрагиваются. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.
Затронутого программного обеспечения
Программное обеспечение Microsoft Server
| Программное обеспечение. | Компонент | Максимальное влияние на безопасность | Оценка серьезности агрегата | Обновления заменено |
|---|---|---|---|---|
| Microsoft SharePoint Server 2007 | ||||
| Microsoft SharePoint Server 2007 с пакетом обновления 3 (32-разрядные выпуски) | Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (32-разрядные версии) (2837616) | Удаленное выполнение кода | Критически важно | 2760420 в MS13-067 |
| Microsoft SharePoint Server 2007 с пакетом обновления 3 (32-разрядные выпуски) | SharePoint Server 2007 с пакетом обновления 3 (32-разрядные выпуски) (dlcapp) (2596902) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Server 2007 с пакетом обновления 3 (32-разрядные выпуски) | SharePoint Server 2007 с пакетом обновления 3 (32-разрядные выпуски) (dlc) (2596763) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Server 2007 с пакетом обновления 3 (64-разрядные выпуски) | Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (64-разрядные версии) (2837616) | Удаленное выполнение кода | Критически важно | 2760420 в MS13-067 |
| Microsoft SharePoint Server 2007 с пакетом обновления 3 (64-разрядные выпуски) | SharePoint Server 2007 с пакетом обновления 3 (64-разрядные выпуски) (dlcapp) (2596902) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Server 2007 с пакетом обновления 3 (64-разрядные выпуски) | SharePoint Server 2007 с пакетом обновления 3 (64-разрядные выпуски) (dlc) (2596763) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Server 2010 | ||||
| Microsoft SharePoint Server 2010 с пакетом обновления 1 (SP1) | Microsoft SharePoint Foundation 2010 с пакетом обновления 1 (wss) (2837588) | Удаленное выполнение кода | Критически важно | 2810067 в MS13-067 |
| Microsoft SharePoint Server 2010 с пакетом обновления 2 | Microsoft SharePoint Foundation 2010 с пакетом обновления 2 (wss) (2837588) | Удаленное выполнение кода | Критически важно | 2810067 в MS13-067 |
| Microsoft SharePoint Server 2010 с пакетом обновления 1 (SP1) | Microsoft SharePoint Server 2010 с пакетом обновления 1 (coreserver) (2837598) | Удаленное выполнение кода | Критически важно | 2817393 в MS13-067 |
| Microsoft SharePoint Server 2010 с пакетом обновления 2 | Microsoft SharePoint Server 2010 с пакетом обновления 2 (coreserver) (2837598) | Удаленное выполнение кода | Критически важно | 2817393 в MS13-067 |
| Microsoft SharePoint Server 2013 | ||||
| Microsoft SharePoint Server 2013 | Microsoft SharePoint Foundation 2013 (sts) (2863856) | Удаленное выполнение кода | Критически важно | 2817315 в MS13-067 |
| Microsoft SharePoint Server 2013 с пакетом обновления 1 (SP1) | Microsoft SharePoint Foundation 2013 с пакетом обновления 1 (sts) (2863856) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Server 2013 | Microsoft SharePoint Foundation 2013 (wssloc) (2863863) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Server 2013 с пакетом обновления 1 (SP1) | Microsoft SharePoint Foundation 2013 с пакетом обновления 1 (wssloc) (2863863) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Server 2013 | Microsoft SharePoint Server 2013 (coreserverloc) (2863829) | Удаленное выполнение кода | Критически важно | 2850058 в MS13-100 |
| Microsoft SharePoint Server 2013 с пакетом обновления 1 (SP1) | Microsoft SharePoint Server 2013 с пакетом обновления 1 (coreserverloc) (2863829) | Удаленное выполнение кода | Критически важно | нет |
Службы Microsoft Office и веб-приложения
| Программное обеспечение. | Компонент | Максимальное влияние на безопасность | Оценка серьезности агрегата | Обновления заменено |
|---|---|---|---|---|
| Microsoft SharePoint Server 2010 | ||||
| Microsoft SharePoint Server 2010 с пакетом обновления 1 (SP1) | Microsoft Project Server 2010 с пакетом обновления 1 (2863922) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Server 2010 с пакетом обновления 2 | Microsoft Project Server 2010 с пакетом обновления 2 (2863922) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Server 2013 | ||||
| Microsoft SharePoint Server 2013 | Microsoft Project Server 2013 (2760236) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Server 2013 с пакетом обновления 1 (SP1) | Microsoft Project Server 2013 с пакетом обновления 1 (2760236) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft Office веб-приложения 2010 | ||||
| Microsoft Office веб-приложения 2010 с пакетом обновления 1 (SP1) | Microsoft Web Applications 2010 с пакетом обновления 1 (2880536) | Удаленное выполнение кода | Критически важно | 2878221 в MS14-017 |
| Microsoft Office веб-приложения 2010 с пакетом обновления 2 (SP2) | Microsoft Web Applications 2010 с пакетом обновления 2 (2880536) | Удаленное выполнение кода | Критически важно | 2878221 в MS14-017 |
| Microsoft Office веб-приложения 2013 | ||||
| Microsoft Office веб-приложения 2013 | Microsoft Office веб-приложения Server 2013 (2880453) | Удаленное выполнение кода | Критически важно | 2878219 в MS14-017 |
| Microsoft Office веб-приложения 2013 с пакетом обновления 1 (SP1) | Microsoft Office веб-приложения Server 2013 с пакетом обновления 1 (2880453) | Удаленное выполнение кода | Критически важно | 2878219 в MS14-017 |
Программное обеспечение для повышения производительности
| Затронутого программного обеспечения | Максимальное влияние на безопасность | Оценка серьезности агрегата | Обновления заменено |
|---|---|---|---|
| Пакет SDK для клиентских компонентов SharePoint Server 2013 | |||
| Пакет SDK для клиентских компонентов SharePoint Server 2013 (32-разрядная версия) (2863854) | Удаленное выполнение кода | Критически важно | нет |
| Пакет SDK для клиентских компонентов SharePoint Server 2013 (64-разрядная версия) (2863854) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Designer 2007 | |||
| Microsoft SharePoint Designer 2007 с пакетом обновления 3 (ewd) (2596861) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Designer 2007 с пакетом обновления 3 (spd) (2596810) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Designer 2010 | |||
| Microsoft SharePoint Designer 2010 с пакетом обновления 1 (32-разрядные версии) (2810069) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Designer 2010 с пакетом обновления 2 (32-разрядная версия) (2810069) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Designer 2010 с пакетом обновления 1 (64-разрядная версия) (2810069) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Designer 2010 с пакетом обновления 2 (64-разрядная версия) (2810069) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Designer 2013 | |||
| Microsoft SharePoint Designer 2013 (32-разрядные версии) (spdcore) (2752096) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Designer 2013 с пакетом обновления 1 (32-разрядная версия) (spdcore) (2752096) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Designer 2013 (32-разрядные версии) (spd) (2863836) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Designer 2013 с пакетом обновления 1 (32-разрядная версия) (spd) (2863836) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Designer 2013 (64-разрядные версии) (spdcore) (2752096) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Designer 2013 с пакетом обновления 1 (64-разрядная версия) (spdcore) (2752096) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Designer 2013 (64-разрядные версии) (spd) (2863836) | Удаленное выполнение кода | Критически важно | нет |
| Microsoft SharePoint Designer 2013 с пакетом обновления 1 (64-разрядная версия) (spd) (2863836) | Удаленное выполнение кода | Критически важно | нет |
Не затронутое программное обеспечение
| Программное обеспечение. |
|---|
| Microsoft Project Server 2007 с пакетом обновления 3 (32-разрядная версия) |
| Microsoft Project Server 2007 с пакетом обновления 3 (64-разрядная версия) |
Вопросы и ответы по обновлению
Почему это обновление устраняет несколько обнаруженных уязвимостей безопасности?
Это обновление содержит поддержку нескольких уязвимостей, так как изменения, необходимые для решения этих проблем, находятся в связанных файлах.
Почему доступно несколько пакетов обновления для некоторых затронутых программ?
Обновления, необходимые для устранения уязвимостей, описанных в этом бюллетене, предлагаются в разных пакетах обновлений, как указано в таблице затронутых программ из-за компонентной модели обслуживания для программного обеспечения Microsoft Office и Microsoft SharePoint Server.
Существует несколько пакетов обновлений, доступных для некоторых затронутых программ. Необходимо ли установить все обновления, перечисленные в таблице затронутых программ для программного обеспечения?
Да. Клиенты должны применять все обновления, предлагаемые для программного обеспечения, установленного в своих системах.
Необходимо ли установить эти обновления безопасности в определенной последовательности?
№ Несколько обновлений для одной версии программного обеспечения Microsoft Office или Microsoft SharePoint Server можно применять в любой последовательности.
Я использую старый выпуск программного обеспечения, рассмотренного в этом бюллетене по безопасности. Что делать?
Затронутое программное обеспечение, указанное в этом бюллетене, было проверено, чтобы определить, какие выпуски затронуты. Другие выпуски прошли жизненный цикл поддержки. Дополнительные сведения о жизненном цикле продукта см. на веб-сайте жизненного цикла служба поддержки Майкрософт.
Это должно быть приоритетом для клиентов, имеющих старые выпуски программного обеспечения для миграции на поддерживаемые выпуски, чтобы предотвратить потенциальное воздействие уязвимостей. Чтобы определить жизненный цикл поддержки для выпуска программного обеспечения, см. раздел "Выбор продукта для сведений о жизненном цикле". Дополнительные сведения о пакетах обновления для этих выпусков программного обеспечения см . в политике поддержки жизненного цикла пакета обновления.
Клиенты, которым требуется пользовательская поддержка более старого программного обеспечения, должны обратиться к своему представителю группы учетных записей Майкрософт, менеджеру технической учетной записи или соответствующему представителю партнера Майкрософт для пользовательских вариантов поддержки. Клиенты без , Premier или Авторизованного контракта могут связаться со своим локальным офисом продаж Майкрософт. Контактные данные см. на веб-сайте Microsoft Worldwide Information , выберите страну в списке контактных данных и нажмите кнопку " Перейти ", чтобы просмотреть список телефонных номеров. При вызове попросите поговорить с местным менеджером по продажам в службу поддержки Premier. Дополнительные сведения см. в разделе "Часто задаваемые вопросы о политике жизненного цикла служба поддержки Майкрософт".
Оценки серьезности и идентификаторы уязвимостей
Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости по отношению к его оценке серьезности и влиянию на безопасность, см. в сводке по индексу эксплойтации в майских бюллетенях. Дополнительные сведения см. в разделе "Индекс эксплойтации Майкрософт".
Программное обеспечение Microsoft Server
| Оценка серьезности уязвимостей и максимальное влияние на безопасность затронутого программного обеспечения | ||||
|---|---|---|---|---|
| Затронутого программного обеспечения | Уязвимость содержимого страницы SharePoint — CVE-2014-0251 | Уязвимость SharePoint XSS — CVE-2014-1754 | Уязвимость содержимого страниц веб-приложений — CVE-2014-1813 | Оценка серьезности агрегата |
| Microsoft SharePoint Server 2007 | ||||
| Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (32-разрядные версии) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| SharePoint Server 2007 (32-разрядные выпуски) (dlcapp) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| SharePoint Server 2007 (32-разрядные выпуски) (dlc) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (64-разрядные версии) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| SharePoint Server 2007 (64-разрядные выпуски) (dlcapp) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| SharePoint Server 2007 (64-разрядные выпуски) (dlc) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft SharePoint Server 2010 | ||||
| Microsoft SharePoint Foundation 2010 с пакетом обновления 1 (wss) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft SharePoint Foundation 2010 с пакетом обновления 2 (wss) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft SharePoint Server 2010 с пакетом обновления 1 (coreserver) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft SharePoint Server 2010 с пакетом обновления 2 (coreserver) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft SharePoint Server 2013 | ||||
| Microsoft SharePoint Foundation 2013 (sts) | Критическое удаленное выполнение кода | Важное повышение привилегий | Неприменимо | Критически |
| Microsoft SharePoint Foundation 2013 (wssloc) | Критическое удаленное выполнение кода | Важное повышение привилегий | Неприменимо | Критически |
| Microsoft SharePoint Server 2013 (coreserverloc) | Критическое удаленное выполнение кода | Важное повышение привилегий | Неприменимо | Критически |
Службы Microsoft Office и веб-приложения
| Оценка серьезности уязвимостей и максимальное влияние на безопасность затронутого программного обеспечения | ||||
|---|---|---|---|---|
| Затронутого программного обеспечения | Уязвимость содержимого страницы SharePoint — CVE-2014-0251 | Уязвимость SharePoint XSS — CVE-2014-1754 | Уязвимость содержимого страниц веб-приложений — CVE-2014-1813 | Оценка серьезности агрегата |
| Microsoft SharePoint Server 2010 | ||||
| Microsoft Project Server 2010 с пакетом обновления 1 (SP1) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft Project Server 2010 с пакетом обновления 2 | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft SharePoint Server 2013 | ||||
| Microsoft Project Server 2013 | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft Project Server 2013 с пакетом обновления 1 (SP1) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft Office веб-приложения 2010 | ||||
| Microsoft Web Applications 2010 с пакетом обновления 1 (SP1) | Критическое удаленное выполнение кода | Нет данных | Критическое удаленное выполнение кода | Критически |
| Microsoft Web Applications 2010 с пакетом обновления 2 (SP2) | Критическое удаленное выполнение кода | Нет данных | Критическое удаленное выполнение кода | Критически |
| Microsoft Office веб-приложения 2013 | ||||
| Microsoft Office веб-приложения Server 2013 | Критическое удаленное выполнение кода | Важное повышение привилегий | Неприменимо | Критически |
| Microsoft Office веб-приложения Server 2013 с пакетом обновления 1 (SP1) | Критическое удаленное выполнение кода | Важное повышение привилегий | Неприменимо | Критически |
Программное обеспечение для повышения производительности
| Оценка серьезности уязвимостей и максимальное влияние на безопасность затронутого программного обеспечения | ||||
|---|---|---|---|---|
| Затронутого программного обеспечения | Уязвимость содержимого страницы SharePoint — CVE-2014-0251 | Уязвимость SharePoint XSS — CVE-2014-1754 | Уязвимость содержимого страниц веб-приложений — CVE-2014-1813 | Оценка серьезности агрегата |
| Пакет SDK для клиентских компонентов SharePoint Server 2013 | ||||
| Пакет SDK для клиентских компонентов SharePoint Server 2013 (32-разрядная версия) | Критическое удаленное выполнение кода | Важное повышение привилегий | Неприменимо | Критически |
| Пакет SDK для клиентских компонентов SharePoint Server 2013 (64-разрядная версия) | Критическое удаленное выполнение кода | Важное повышение привилегий | Неприменимо | Критически |
| Microsoft SharePoint Designer | ||||
| Microsoft SharePoint Designer 2007 с пакетом обновления 3 (ewd) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft SharePoint Designer 2007 с пакетом обновления 3 | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft SharePoint Designer 2010 с пакетом обновления 1 (32-разрядная версия) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft SharePoint Designer 2010 с пакетом обновления 2 (32-разрядная версия) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft SharePoint Designer 2010 с пакетом обновления 1 (64-разрядная версия) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft SharePoint Designer 2010 с пакетом обновления 2 (64-разрядная версия) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft SharePoint Designer 2013 (32-разрядные версии) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft SharePoint Designer 2013 с пакетом обновления 1 (32-разрядная версия) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft SharePoint Designer 2013 (64-разрядные версии) (spd) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
| Microsoft SharePoint Designer 2013 с пакетом обновления 1 (64-разрядная версия) | Критическое удаленное выполнение кода | Неприменимо | Неприменимо | Критически |
Уязвимости содержимого страницы SharePoint — CVE-2014-0251
Связанные уязвимости удаленного выполнения кода существуют в Microsoft SharePoint Server. Прошедший проверку подлинности злоумышленник, который успешно использовал любую из этих связанных уязвимостей, может запустить произвольный код в контексте безопасности учетной записи службы W3WP.
Сведения об этих связанных уязвимостях в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2014-0251.
Смягчающие факторы
Устранение рисков ссылается на параметр, общую конфигурацию или общую рекомендацию, существующую в состоянии по умолчанию, которая может снизить серьезность эксплуатации уязвимости. В вашей ситуации могут оказаться полезными следующие факторы устранения рисков:
- Чтобы использовать любую из этих связанных уязвимостей, злоумышленник должен иметь возможность пройти проверку подлинности на целевом сайте SharePoint. Обратите внимание, что это не фактор снижения, если сайт SharePoint настроен для предоставления анонимным пользователям доступа к сайту. По умолчанию анонимный доступ не включен.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этих уязвимостей.
Вопросы и ответы
Что такое область уязвимостей?
Это связанные уязвимости удаленного выполнения кода.
Что вызывает уязвимости?
При неправильной очистке содержимого страницы существуют условия, в которых злоумышленник может запустить произвольный код в контексте безопасности учетной записи службы W3WP.
Почему один идентификатор CVE назначается нескольким уязвимостям?
Хотя уязвимости находятся в разных компонентах Microsoft SharePoint Server, все они используют одну и ту же базовую проблему и связанный код. Уязвимости группируются в один идентификатор CVE, представляющий основную проблему.
Что может сделать злоумышленник с помощью уязвимостей?
Злоумышленник, который успешно воспользовался любой из этих связанных уязвимостей, может запустить произвольный код в контексте безопасности учетной записи службы W3WP на целевом сайте SharePoint.
Как злоумышленник может использовать уязвимости?
Прошедший проверку подлинности злоумышленник может попытаться использовать любую из этих связанных уязвимостей, отправив специально созданное содержимое страницы на сервер SharePoint.
Какие системы в первую очередь подвергаются риску от уязвимостей?
Системы, работающие под управлением затронутой версии сервера SharePoint, в основном подвержены риску.
Что делает обновление?
Обновление устраняет эти связанные уязвимости, исправляя, как SharePoint Server очищает специально созданное содержимое страницы.
Когда был выдан бюллетень по безопасности, были ли эти уязвимости публично раскрыты?
№ Корпорация Майкрософт получила информацию об этих связанных уязвимостях путем координации раскрытия уязвимостей.
Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этих уязвимостей?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эти связанные уязвимости были публично использованы для атак клиентов при первоначальном выпуске этого бюллетеня по безопасности.
Уязвимость SharePoint XSS — CVE-2014-1754
Уязвимость с повышением привилегий существует в Microsoft SharePoint Server. Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнять атаки на межсайтовые сценарии на затронутых системах и запускать скрипты в контексте безопасности пользователя, вошедшего в систему.
Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2014-1754.
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости.
Вопросы и ответы
Что такое область уязвимости?
Это уязвимость с повышением привилегий.
Что вызывает уязвимость?
Уязвимость возникает, когда SharePoint Server неправильно очищает специально созданный запрос на затронутый сервер SharePoint.
Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался этой уязвимостью, может прочитать содержимое, которое злоумышленник не авторизован для чтения, использовать удостоверение жертвы, чтобы выполнить действия на сайте SharePoint от имени жертвы, например разрешения на изменение и удаление содержимого, а также внедрить вредоносное содержимое в браузер жертвы.
Как злоумышленник может воспользоваться уязвимостью?
Злоумышленник, прошедший проверку подлинности, может использовать эту уязвимость, отправив специально созданный запрос на затронутый сервер SharePoint.
Какие системы в первую очередь подвергаются риску от уязвимости?
Любая система под управлением затронутой версии SharePoint Server в основном рискует от уязвимости.
Что делает обновление?
Обновление устраняет уязвимость, помогая обеспечить правильность очистки входных данных пользователей в SharePoint Server.
Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
№ Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей.
Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов при первоначальном выпуске этого бюллетеня по безопасности.
Уязвимость содержимого страниц веб-приложений — CVE-2014-1813
Уязвимость удаленного выполнения кода существует в веб-приложениях Майкрософт. Прошедший проверку подлинности злоумышленник, успешно использующий эту уязвимость, может запустить произвольный код в контексте безопасности учетной записи службы W3WP.
Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2014-1813.
Смягчающие факторы
Устранение рисков ссылается на параметр, общую конфигурацию или общую рекомендацию, существующую в состоянии по умолчанию, которая может снизить серьезность эксплуатации уязвимости. В вашей ситуации могут оказаться полезными следующие факторы устранения рисков:
- Чтобы воспользоваться этой уязвимостью, злоумышленник должен иметь возможность пройти проверку подлинности на целевом сайте SharePoint. Обратите внимание, что это не фактор снижения, если сайт SharePoint настроен для предоставления анонимным пользователям доступа к сайту. По умолчанию анонимный доступ не включен.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости.
Вопросы и ответы
Что такое область уязвимости?
Это уязвимость удаленного выполнения кода.
Что вызывает уязвимость?
При неправильной очистке содержимого страницы существуют условия, в которых злоумышленник может запустить произвольный код в контексте безопасности учетной записи службы W3WP.
Что может сделать злоумышленник?
Злоумышленник, успешно использующий уязвимость, может запустить произвольный код в контексте безопасности учетной записи службы W3WP на целевом сайте SharePoint.
Как злоумышленник может воспользоваться уязвимостью?
Злоумышленник, прошедший проверку подлинности, может попытаться использовать уязвимость, отправив специально созданное содержимое страницы на сервер SharePoint.
Какие системы в первую очередь подвергаются риску от уязвимости?
Системы, работающие под управлением затронутой версии сервера SharePoint, в основном подвержены риску.
Что делает обновление?
Обновление устраняет уязвимость, исправляя, как затронутые веб-приложения очищают специально созданное содержимое страницы.
Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
№ Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей.
Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов при первоначальном выпуске этого бюллетеня по безопасности.
Средства обнаружения и развертывания и рекомендации
Несколько ресурсов помогают администраторам развертывать обновления системы безопасности.
- Анализатор безопасности Microsoft Base (МБ SA) позволяет администраторам проверять локальные и удаленные системы для отсутствия обновлений безопасности и распространенных ошибок в настройке безопасности.
- Службы обновления Windows Server (WSUS), сервер управления системами (SMS) и System Center Configuration Manager помогают администраторам распространять обновления безопасности.
- Компоненты средства оценки совместимости обновлений, включенные в состав набор средств совместимости приложений, упрощают тестирование и проверку обновлений Windows в установленных приложениях.
Сведения об этих и других средствах, доступных, см. в разделе "Средства безопасности для ИТ-специалистов".
Обратите внимание на средства обнаружения SharePoint Server (такие как Microsoft Update, WSUS, МБ SA, SMS и System Center Configuration Manager) применимы для развертываний Microsoft SharePoint Server с одним сервером. Средства обнаружения не обнаруживают применимость обновлений в системах, настроенных в рамках фермы серверов SharePoint с несколькими системами. Рекомендации по применению обновлений к SharePoint Server см. в статье "Развертывание обновлений программного обеспечения для SharePoint 2013".
Примечание для Microsoft Office веб-приложения Server 2013 Применение обновлений office веб-приложения Server с помощью процесса автоматического обновления не поддерживается с сервером Office веб-приложения Server. Рекомендуемые инструкции по применению обновлений к серверу Office веб-приложения Server см. в статье "Применение обновлений программного обеспечения к серверу Office веб-приложения Server".
Развертывание обновлений безопасности
SharePoint Server 2007 (все выпуски) и Windows SharePoint Services 3.0 (все версии)
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
| Имя файла обновления системы безопасности | Для Microsoft SharePoint Server 2007 (32-разрядные выпуски) и Microsoft Windows SharePoint Services 3.0 (32-разрядные версии):\ sts2007-kb2837616-fullfile-x86-glb.exe |
|---|---|
| Для Microsoft SharePoint Server 2007 (32-разрядные выпуски):\ dlcapp2007-kb2596902-fullfile-x86-glb.exe\ dlc2007-kb2596763-fullfile-x86-glb.exe | |
| Для Microsoft SharePoint Server 2007 (64-разрядные выпуски) и Microsoft Windows SharePoint Services 3.0 (64-разрядные версии):\ sts2007-kb2837616-fullfile-x64-glb.exe | |
| Для Microsoft SharePoint Server 2007 (64-разрядные выпуски):\ dlcapp2007-kb2596902-fullfile-x64-glb.exe\ dlc2007-kb2596763-fullfile-x64-glb.exe | |
| Параметры установки | См. статью базы знаний Майкрософт 912203 |
| Требование перезапуска | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение возникает, появится сообщение, которое советует перезапустить.\ \ Чтобы уменьшить вероятность необходимости перезапуска, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапуститься, см . в статье базы знаний Майкрософт 887012. |
| Сведения об удалении | Это обновление безопасности не может быть удалено. |
| Сведения о файле | Сведения о Microsoft SharePoint Server 2007 и Microsoft Windows SharePoint Services 3.0:\ См . в статье базы знаний Майкрософт 2837616 |
| Сведения о Microsoft SharePoint Server 2007:\ См. статью 2596902 базы знаний Майкрософт и статью базы знаний Майкрософт 2596763 | |
| Проверка раздела реестра | Нет данных |
SharePoint Server 2010 (все выпуски) и SharePoint Foundation 2010 (все версии)
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
| Имя файла обновления системы безопасности | Для Microsoft SharePoint Server 2010 и Microsoft SharePoint Foundation 2010:\ wss2010-kb2837588-fullfile-x64-glb.exe |
|---|---|
| ** ** | Для Microsoft SharePoint Server 2010:\ coreserver2010-kb2837598-fullfile-x64-glb.exe |
| Параметры установки | См. статью базы знаний Майкрософт 912203 |
| Требование перезапуска | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение возникает, появится сообщение, которое советует перезапустить.\ \ Чтобы уменьшить вероятность необходимости перезапуска, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапуститься, см . в статье базы знаний Майкрософт 887012. |
| Сведения об удалении | Это обновление безопасности не может быть удалено. |
| Сведения о файле | Для Microsoft SharePoint Server 2010 и Microsoft SharePoint Foundation 2010:\ Статья базы знаний Майкрософт 2837588 |
| Для Microsoft SharePoint Server 2010:\ Статья базы знаний Майкрософт 2837598 | |
| Проверка раздела реестра | Нет данных |
SharePoint Server 2013 (все выпуски) и SharePoint Foundation 2013 (все версии)
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
| Имя файла обновления системы безопасности | Для Microsoft SharePoint Server 2013 и Microsoft SharePoint Foundation 2013:\ sts2013-kb2863856-fullfile-x64-glb.exe\ wssloc2013-kb2863863-fullfile-x64-glb.exe |
|---|---|
| ** ** | Для Microsoft SharePoint Server 2013:\ coreserverloc2013-kb2863829-fullfile-x64-glb.exe |
| Параметры установки | См. статью базы знаний Майкрософт 912203 |
| Требование перезапуска | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение возникает, появится сообщение, которое советует перезапустить.\ \ Чтобы уменьшить вероятность необходимости перезапуска, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапуститься, см . в статье базы знаний Майкрософт 887012. |
| Сведения об удалении | Это обновление безопасности не может быть удалено. |
| Сведения о файле | Сведения о Microsoft SharePoint Server 2013 и Microsoft SharePoint Foundation 2013:\ См. статью 2863856 базы знаний Майкрософт и статью базы знаний Майкрософт 2863863 |
| Для Microsoft SharePoint Server 2013:\ См . статью базы знаний Майкрософт 2863829 | |
| Проверка раздела реестра | Нет данных |
Службы Office и Office веб-приложения 2010 (все версии)
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
| Имя файла обновления системы безопасности | Для поддерживаемых версий Microsoft Project Server 2010:\ prjsrv2010-kb2863922-fullfile-x64-glb.exe |
|---|---|
| Поддерживаемые версии Microsoft Office Web App 2010:\ wac2010-kb2880536-fullfile-x64-glb.exe | |
| Параметры установки | См. статью базы знаний Майкрософт 912203 |
| Требование перезапуска | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение возникает, появится сообщение, которое советует перезапустить.\ \ Чтобы уменьшить вероятность необходимости перезапуска, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапуститься, см . в статье базы знаний Майкрософт 887012. |
| Сведения об удалении | Это обновление безопасности не может быть удалено. |
| Сведения о файле | Поддерживаемые версии Microsoft Project Server 2010:\ См . статью базы знаний Майкрософт 2863922 |
| Поддерживаемые версии Microsoft Office Web App 2010:\ См . статью базы знаний Майкрософт 2880536 | |
| Проверка раздела реестра | Нет данных |
Службы Office и Office веб-приложения Server 2013 (все версии)
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
| Имя файла обновления системы безопасности | Поддерживаемые версии Microsoft Project Server 2013:\ pjsrvloc2013-kb2760236-fullfile-x64-glb.exe |
|---|---|
| Поддерживаемые версии Microsoft Office веб-приложения Server 2013:\ wacserver2013-kb2880453-fullfile-x64-glb.exe | |
| Параметры установки | См. статью базы знаний Майкрософт 912203 |
| Требование перезапуска | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение возникает, появится сообщение, которое советует перезапустить.\ \ Чтобы уменьшить вероятность необходимости перезапуска, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапуститься, см . в статье базы знаний Майкрософт 887012. |
| Сведения об удалении | Это обновление безопасности не может быть удалено. |
| Сведения о файле | Статья базы знаний Майкрософт для Microsoft Project Server 2013:\ 2760236 базы знаний Майкрософт |
| Статья базы знаний Майкрософт для Microsoft Office веб-приложения Server 2013:\ 2880453 базы знаний Майкрософт | |
| Проверка раздела реестра | Нет данных |
Пакет SDK для клиентских компонентов SharePoint Server 2013 и SharePoint Designer (все выпуски)
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
| Имя файла обновления системы безопасности | Пакет SDK для клиентских компонентов SharePoint Server 2013 (32-разрядная версия):\ spdevsdk2013-kb2863854-fullfile-x86-glb.exe |
|---|---|
| Пакет SDK для клиентских компонентов SharePoint Server 2013 (64-разрядная версия):\ spdevsdk2013-kb2863854-fullfile-x64-glb.exe | |
| Для Microsoft SharePoint Designer 2007:\ ewd2007-kb2596861-fullfile-x86-glb.exe\ spd2007-kb2596810-fullfile-x86-glb.exe | |
| ** ** | Для Microsoft SharePoint Designer 2010 (32-разрядные версии):\ spd2010-kb2810069-fullfile-x86-glb.exe |
| ** ** | Для Microsoft SharePoint Designer 2010 (64-разрядные версии):\ spd2010-kb2810069-fullfile-x64-glb.exe |
| ** ** | Для Microsoft SharePoint Designer 2013 (32-разрядные версии):\ spdcore2013-kb2752096-fullfile-x86-glb.exe spd2013-kb2863836-fullfile-x86-glb.exe\ |
| ** ** | Для Microsoft SharePoint Designer 2013 (64-разрядные версии):\ spdcore2013-kb2752096-fullfile-x64-glb.exe spd2013-kb2863836-fullfile-x64-glb.exe\ |
| Параметры установки | См. статью базы знаний Майкрософт 912203 |
| Требование перезапуска | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение возникает, появится сообщение, которое советует перезапустить.\ \ Чтобы уменьшить вероятность необходимости перезапуска, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапуститься, см . в статье базы знаний Майкрософт 887012. |
| Сведения об удалении | Это обновление безопасности не может быть удалено. |
| Сведения о файле | Пакет SDK для клиентских компонентов SharePoint Server 2013:\ См . статью базы знаний Майкрософт 2863854 |
| Сведения о Microsoft SharePoint Designer 2007:\ См . статью 2596861 базы знаний Майкрософт и 2596810 базы знаний Майкрософт | |
| ** ** | Для Microsoft SharePoint Designer 2010:\ См . статью базы знаний Майкрософт 2810069 |
| ** ** | Сведения о Microsoft SharePoint Designer 2013:\ См. статью 2752096 базы знаний Майкрософт и статью базы знаний Майкрософт 2863836 |
| Проверка раздела реестра | Нет данных |
Другие сведения
Программа Microsoft Active Protections (MAPP)
Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, перейдите на веб-сайты активных защиты, предоставляемые партнерами программы, перечисленными в программе Microsoft Active Protections Program (MAPP).
Поддержка
Получение справки и поддержки для этого обновления системы безопасности
- Справка по установке обновлений: поддержка Центра обновления Майкрософт
- Решения по безопасности для ИТ-специалистов: устранение неполадок и поддержка безопасности TechNet
- Защита компьютера под управлением Windows от вирусов и вредоносных программ: решение для вирусов и центра безопасности
- Локальная поддержка в соответствии с вашей страной: международная поддержка
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- V1.0 (13 мая 2014 г.): бюллетень опубликован.
Страница создана 2014-06-25 9:35Z-07:00.