Microsoft Dynamics 365 for Finance and Operations遠(yuǎn)程代碼執(zhí)行漏洞
  • CNNVD編號:未知
  • 危害等級: 超危 
  • CVE編號:CVE-2020-17152、CVE-2020-17158
  • 漏洞類型: 遠(yuǎn)程代碼執(zhí)行漏洞
  • 威脅類型:遠(yuǎn)程
  • 廠       商:未知
  • 漏洞來源:深信服
  • 發(fā)布時間:2020-12-16
  • 更新時間:2021-01-14

漏洞簡介

Microsoft Dynamics 365 for Finance and Operations(以前稱為Dynamics AX)是適用于中型到大型組織的Microsoft企業(yè)資源計劃(ERP)系統(tǒng)。該軟件是Dynamics 365產(chǎn)品線的一部分,通過智能,直觀的用戶界面為企業(yè)在財務(wù)、制造、供應(yīng)鏈、倉庫、庫存和運(yùn)輸管理中統(tǒng)一財務(wù)和業(yè)務(wù)運(yùn)營。

當(dāng)攻擊者通過身份認(rèn)證, 攻擊者通過向服務(wù)器的某個API發(fā)送一個偽造的請求, 將含有惡意反序列化的內(nèi)容注入到服務(wù)器的反序列化流中, 能夠在服務(wù)器執(zhí)行任意命令, 甚至直接接管服務(wù)器, 利用難度和所需權(quán)限低。

漏洞公示

暫無

受影響實(shí)體

受影響版本:

Dynamics 365 for Finance and Operations

補(bǔ)丁

1 修復(fù)建議

目前廠商已發(fā)布升級補(bǔ)丁修復(fù)漏洞,請受影響用戶盡快進(jìn)行升級加固。補(bǔ)丁獲取鏈接:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17152

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17158


2 深信服解決方案

深信服下一代防火墻】可輕松防御此漏洞,預(yù)計2020年12月11日及以后版本庫支持該漏洞防御, 建議部署深信服下一代防火墻的用戶更新至最新的安全防護(hù)規(guī)則,可輕松抵御此高危風(fēng)險。

深信服云盾】已第一時間從云端自動更新防護(hù)規(guī)則,云盾用戶無需操作,即可輕松、快速防御此高危風(fēng)險。

深信服安全感知平臺】可檢測利用該漏洞的攻擊,實(shí)時告警,并可聯(lián)動【深信服下一代防火墻等產(chǎn)品】實(shí)現(xiàn)對攻擊者ip的封堵。

深信服安全運(yùn)營服務(wù)】深信服云端安全專家提供7*24小時持續(xù)的安全運(yùn)營服務(wù)。對存在漏洞的用戶,檢查并更新了客戶防護(hù)設(shè)備的策略,確保客戶防護(hù)設(shè)備可以防御此漏洞風(fēng)險。