Enkele aanvullingen:
Exchange 2007 en 2010 - alleen bij OWA gebruikVolgens de Microsoft advisory en aanvullende info is een Exchange 2007 of 2010 server alleen kwetsbaar als er OWA (Outlook Web Access) gebruikers zijn. Voor het
previewen van bijlagen wordt dan,
op de server, van de transcoding service gebruik gemaakt, die op zijn beurt van de "Oracle Outside In" libraries (met kwetsbaarheid) gebruik maakt.
Dit betekent dat spammers malware mails kunnen sturen waarbij de malware
op de server wordt uitgevoerd zodra een OWA gebruiker de bijlage bij die mail previewt. Een virusscanner op de client doet hier zo goed als zeker niets tegen. Of een virusscanner op de server soelaas biedt is ook nog maar de vraag: als de malware volledig in-memory word verwerkt (dus niet als bestand op de schijf belandt) zijn de meeste virusscanners niet effectief, en er zijn vele manieren om de malware in de email te "obfusceren" totdat deze door bedoelde services wordt geconverteerd naar iets leesbaars voor OWA gebruikers.
Uit
http://technet.microsoft.com/en-us/security/advisory/2737111:
Microsoft is investigating new public reports of vulnerabilities in third-party code, Oracle Outside In libraries, that affect Microsoft Exchange Server 2007, Microsoft Exchange Server 2010, and FAST Search Server 2010 for SharePoint, which ship that component.
Ik raad aan de door Microsoft voorgestelde workaround (in genoemde pagina) ASAP uit te voeren indien je Exchange 2007 of later draait en OWA gebruikers hebt (d.w.z. uitschakelen van die trancoding services totdat een patch beschikbaar is en je deze hebt geïmplementeerd).
Nb Exchange 2003 en ouder zijn niet kwetsbaar volgens Microsoft.
Sharepoint 2010Sharepoint 2010 is, volgens Microsoft, alleen kwetsbaar indien FAST Search met Advanced Filter Pack is aangezet. Daarnaast moet een kwaadwillende gebuiker dan ook toegang hebben tot SharePoint. Het onmiddellijke risico lijkt me dus veel groter bij Exchange installaties.
Aanvulling 14:56
Het lijkt erop dat er Oracle Microsoft niet heeft gewaarschuwd of dat Microsoft aankondigingen van Oracle heeft gemist, en blijkbaar niet weet dat ze zelf dit soort componenten gebruikt...
Exploits zijn ondertussen gepubliceerd, o.a. 3 stuks hier:
http://www.exploit-db.com/dos/ (geen diee waarom ze daar de onder "DoS" staan, de auteur (
http://www.protekresearchlab.com/) heeft het over remote code execution).
Het gaat om een flink aantal kwetsbaarheden (zie de "Outside In" vulnerabilities in
http://www.oracle.com/technetwork/topics/security/cpujul2012verbose-392736.html#Oracle%20Fusion%20Middleware en de CVE references in
http://technet.microsoft.com/en-us/security/advisory/2737111).
Meer waarschuwingen:
http://secunia.com/advisories/50019 en
https://isc.sans.edu/diary/Microsoft+Exchange+Sharepoint+and+others+Oracle+Outside+In+Vulnerability/13780.
Info over de onderhavige Oracle "Outside In" libraries:
http://www.oracle.com/technetwork/middleware/webcenter/content/oit-all-085236.html (en
http://www.oracle.com/technetwork/middleware/webcenter/content/htmlexport-092288.html). Overigens is dit niet de eerste keer dat er kwetsbaarheden in deze libraries worden gevonden.
Volgens
http://www.kb.cert.org/vuls/id/118913 zijn de oracle Outside In libraries met versies OUDER DAN 8.3.5.6369 en 8.3.7.171 kwetsbaar. Het zou gaan om gemanipuleerde bestanden met de volgende extensies: .VSD, .WSD, .JP2, .DOC, .SXD, .LWP, .PCX, .SXI, .DPT, .PDF, .SAM, .ODG, en .CDR.