目录

漏洞详情

1.Microsoft Exchange Server 多个远程代码执行漏洞

漏洞介绍：

Microsoft Exchange Server是微软公司的一套电子邮件服务组件。除传统的电子邮件的存取、储存、转发功能外，在新版本的产品中亦加入了一系列辅助功能，如语音邮件、邮件过滤筛选和OWA（基于Web的电子邮件存取）。

漏洞危害：

Microsoft Exchange Server中存在远程代码执行漏洞，该漏洞允许经过身份认证的远程攻击者在服务器账户的上下文中执行任意代码。

漏洞编号：

CVE-2023-21707
CVE-2023-21706
CVE-2023-21529

影响范围：

Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 11
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 12

修复方案：

及时测试并升级到最新版本或升级版本。

来源：奇安信CERT

2.HAProxy请求走私漏洞

漏洞介绍：

HAProxy 是一种广泛使用的开源负载平衡器和基于 TCP 和 HTTP 的应用程序的反向代理。

漏洞危害：

该漏洞存在于HAProxy中，是一个请求走私漏洞。因为 HTTP/1 标头在某些情况下会无意中丢失，攻击者可利用该漏洞绕过 HAProxy 的标头处理，进而通过恶意设计的 HTTP 请求将 HTTP 请求走私到后端服务器，从而绕过安全控制并未经授权访问敏感数据。

漏洞编号：

CVE-2023-25725

影响范围：

HAProxy 2.0 < 2.0.31
HAProxy 2.2 < 2.2.29
HAProxy 2.4 < 2.4.22
HAProxy 2.5 < 2.5.12
HAProxy 2.6 < 2.6.9
HAProxy 2.7 < 2.7.3
HAProxy Enterprise 2.0r1 < 2.0r1-1.0.0-248.1534
HAProxy Enterprise 2.2r1 < 2.2r1-1.0.0-254.929
HAProxy Enterprise 2.4r1 < 2.4r1-1.0.0-285.1010
HAProxy Enterprise 2.5r1 < 2.5r1-1.0.0-285.653
HAProxy Enterprise 2.6r1 < 2.6r1-1.0.0-288.770
HAProxy ALOHA 12.5 < 12.5.18
HAProxy ALOHA 13.5 < 13.5.19
HAProxy ALOHA 14.0 < 14.0.11
HAProxy ALOHA 14.5 < 14.5.6
HAProxy Kubernetes Ingress Controller 1.7 < 1.7.12
HAProxy Kubernetes Ingress Controller 1.8 < 1.8.1
HAProxy Kubernetes Ingress Controller 1.9 < 1.9.3
HAProxy Enterprise Kubernetes Ingress Controller 1.7 < 1.7.12
HAProxy Enterprise Kubernetes Ingress Controller 1.8 < 1.8.11

修复方案：

及时测试并升级到最新版本或升级版本。

来源：360CERT