由于服务器运行时存在远程代码执行缺陷,Exchange OWA 一年多来第四次使我们的内部网络处于危险之中。Microsoft 不支持 DMZ 中的 OWA的事实加剧了这种风险。
该问题与 CAS 服务器(也称为 Outlook Web App / OWA)的“Outside in” DLL 有关。这些文件将 PDF 和 Word 电子邮件附件解析为 HTML 文档以进行基于 HTML 的预览。我会将这个漏洞与通过简单地向毫无戒心的收件人发送电子邮件而触发的服务器端缓冲区溢出进行比较。
根据这个微软的补丁历史,webready 子组件在两年内对所有这些补丁的安全性不太好:
请注意,这些文件是由 Sun/Oracle 开发的,并且这些警报早在 Microsoft 公开这些文件之前就已公开。此列表可能并非包罗万象,因此暗示了更大的责任。
问题
是否有任何 Exchange Server 部署指南建议禁用 Webready 作为安全指南的一部分?
安全指南(如上,如果存在)何时更新为最新建议?
我问的原因是因为 DMZ 或前端后端配置不再支持 Exchange。这意味着任何违反 OWA 的行为都可能破坏我的内部网络。(本地服务缓解措施除外)
我问的第二个原因是,我可以确定与 Exchange 相关的最具前瞻性或最具安全意识的方法。如果存在这样的思想领袖,我想订阅他们的博客,购买他们的咨询服务等。基本上,我想走在潮流的前面,消除可能存在的任何其他安全漏洞。我想知道我应该禁用哪些其他组件。