2024-11-21 www.dnxtw.com
电脑系统网 11 月 19 微软在日消息 11 月的 Patch Tuesday 针对中发布 Exchange Server 安全更新的目的是修复 CVE-2024-49040 漏洞导致一些电子邮件系统停止接收和发送电子邮件。微软正在发布报告,承认相关问题,并宣布撤回更新,并计划在未来重新发布修复版本。
微软在报告中表示,他们发现更新可能会导致更新 Exchange Server 传输规则(Transport Rules)偶尔暂停,初步调查显示,这种情况发生在使用自定义传输规则或数据丢失保护(DLP)在规则用户中。目前,相关更新已被撤回。在新更新补丁发布之前,微软建议所有企业删除它 11 月度安全更新。
根据计算机系统网络,微软试图修复它 CVE-2024-49040 漏洞在 CVSS 3.1 风险评分在版本中 7.5,属于伪造漏洞,主要影响 Exchange Server 2016 和 2019 黑客可以在恶意邮件中伪装成“合法发件人”。
据悉,邮件传输过程中出现了相关漏洞 Exchange Server 对 P2 FROM 头部验证不当,使不符合要求 RFC 5322 也可以通过头格式的邮件,并且在 Microsoft Outlook 显示为合法邮件。
考虑到上周微软的警告 CVE-2024-49040 该漏洞已被黑客攻击,因此微软应以相当快的速度修复当前问题,并重新发布新版本的安全更新补丁。