Microsoft 安全性布告欄 MS15-047 - 重要
Microsoft SharePoint Server 中的弱點可能會允許遠端程式代碼執行 (3058083)
發佈時間: 2015 年 5 月 12 日
版本: 1.0
執行摘要
此安全性更新可解決 Microsoft Office 伺服器和生產力軟體中的弱點。 如果已驗證的攻擊者將特製的頁面內容傳送至 SharePoint 伺服器,弱點可能會允許遠端程式代碼執行。 成功利用這些弱點的攻擊者可以在目標 SharePoint 網站上 W3WP 服務帳戶的安全性內容中執行任意程式碼。
此安全性更新評為 Microsoft SharePoint Server 2007、Microsoft SharePoint Server 2010、Microsoft SharePoint Foundation 2010、Microsoft SharePoint Server 2013 和 Microsoft SharePoint Foundation 2013 的支援版本。 如需詳細資訊,請參閱 受影響的軟體 一節。
安全性更新會修正 SharePoint Server 如何清理特製的頁面內容,以解決弱點。 如需弱點的詳細資訊,請參閱 弱點資訊 一節。
如需此更新的詳細資訊,請參閱 Microsoft 知識庫文章3058083。
受影響的軟體
下列軟體版本或版本受到影響。 未列出的版本或版本要麼超過其支援生命周期,要麼不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱 Microsoft 支援服務 生命週期。
Microsoft Server Software
| Microsoft SharePoint Server | 元件 | 最大安全性影響 | 匯總嚴重性評等 | 更新 已取代 |
|---|---|---|---|---|
| Microsoft SharePoint Server 2007 | ||||
| Microsoft SharePoint Server 2007 Service Pack 3 (32 位版本) (2760412) | 不適用 | 遠端程式代碼執行 | 重要 | MS12-066 中的 2687405 |
| Microsoft SharePoint Server 2007 Service Pack 3 (64 位版本) (2760412) | 不適用 | 遠端程式代碼執行 | 重要 | MS12-066 中的 2687405 |
| Microsoft SharePoint Server 2010 | ||||
| Microsoft SharePoint Server 2010 Service Pack 2 | Microsoft SharePoint Foundation 2010 Service Pack 2 (3017815) | 遠端程式代碼執行 | 重要 | MS15-022 中的 2956208 |
| Microsoft SharePoint Server 2010 Service Pack 2 (2956192) | 不適用 | 遠端程式代碼執行 | 重要 | MS15-022 中的 2837598 |
| Microsoft SharePoint Server 2013 | ||||
| Microsoft SharePoint Server 2013 Service Pack 1 | Microsoft SharePoint Foundation 2013 Service Pack 1 (3054792) | 遠端程式代碼執行 | 重要 | MS15-022 中的 2956175 |
更新常見問題
為什麼此公告中所列的一些更新檔案也代表於 5 月發行的其他公告中?
此公告中列出的數個更新檔案也表示於 5 月發行的其他布告欄,因為受影響的軟體重疊。 雖然不同的布告欄可解決個別的安全性弱點,但安全性更新已於可能且適當的情況下合併。 因此,多個公告中有一些相同的更新檔案。
請注意,使用多個布告欄發行的相同更新檔案不需要安裝一次以上。
某些受影響的軟體有多個更新套件可供使用。 我需要安裝軟體受影響軟體數據表中列出的所有更新嗎?
是。 客戶應為其系統上安裝的軟體套用所有提供的更新。
嚴重性評等和弱點標識碼
下列嚴重性評等假設弱點的潛在最大影響。 如需有關此安全性布告欄發行 30 天內有關弱點嚴重性評等和安全性影響之惡意探索性的資訊,請參閱 5 月公告摘要中的惡意探索索引。
Microsoft Server Software
| 受影響軟體的弱點嚴重性分級和安全性影響上限 | ||
|---|---|---|
| 受影響的軟體 | Microsoft SharePoint 頁面內容弱點 - CVE-2015-1700 | 匯總嚴重性評等 |
| Microsoft SharePoint Server 2007 | ||
| Microsoft SharePoint Server 2007 Service Pack 3 (32 位版本) (2760412) | 重要 遠端程式代碼執行 | 重要 |
| Microsoft SharePoint Server 2007 Service Pack 3 (64 位版本) (2760412) | 重要 遠端程式代碼執行 | 重要 |
| Microsoft SharePoint Server 2010 | ||
| Microsoft SharePoint Foundation 2010 Service Pack 2 (3017815) | 重要 遠端程式代碼執行 | 重要 |
| Microsoft SharePoint Server 2010 Service Pack 2 (2956192) | 重要 遠端程式代碼執行 | 重要 |
| Microsoft SharePoint Server 2013 | ||
| Microsoft SharePoint Foundation 2013 Service Pack 1 (3054792) | 重要 遠端程式代碼執行 | 重要 |
弱點資訊
Microsoft SharePoint 頁面內容弱點 - CVE-2015-1700
SharePoint Server 不正確地清理特製頁面內容時,就存在遠端程式代碼執行弱點。 已驗證的攻擊者可以藉由將特製的頁面內容傳送至 SharePoint 伺服器,嘗試利用這些弱點。 成功利用這些弱點的攻擊者可以在目標 SharePoint 網站上 W3WP 服務帳戶的安全性內容中執行任意程式碼。 執行受影響 SharePoint Server 版本的系統主要有風險。
安全性更新會修正 SharePoint Server 如何清理特製的頁面內容,以解決弱點。
Microsoft 透過協調的弱點洩漏收到弱點的相關信息。 發佈此安全性布告欄時,Microsoft 未收到任何資訊,指出這些弱點已公開用來攻擊客戶。
若要將此弱點視為常見弱點和暴露清單中的標準專案,請參閱 CVE-2015-1700。
緩和因素
下列 緩和因素 可能對您的情況有所説明:
- 若要利用此弱點,攻擊者必須能夠在目標 SharePoint 網站上進行驗證。 請注意,如果 SharePoint 網站設定為允許匿名使用者存取網站,則這不是緩解因素。 根據預設,不會啟用匿名存取。
因應措施
Microsoft 尚未識別出這些弱點的任何 因應措施 。
常見問題集
為何將單一 CVE 標識符指派給多個弱點?
雖然弱點位於 Microsoft SharePoint Server 的不同元件中,但它們都會共用相同的基礎問題和相關的程式代碼。 弱點會分組為代表基礎問題的單一 CVE 識別符。
安全性更新部署
如需安全性更新部署資訊,請參閱執行摘要中參考的 Microsoft 知識庫文章。
通知
Microsoft 可辨識安全性社群中協助我們透過協調弱點洩漏保護客戶的工作。 如需詳細資訊,請參閱通知。
免責聲明
Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2015 年 5 月 12 日): 公告發佈。
頁面產生的 2015-05-06 11:03Z-07:00。