एक्सचेंज सर्व्हरमध्ये “गंभीर” सुरक्षा बग आहे, परंतु मायक्रोसॉफ्टकडे अद्याप योग्य निराकरण नाही
एक्स्चेंज सर्व्हरची नवीन असुरक्षितता काही प्रशासकांना गोंधळात टाकण्यास भाग पाडत आहे आणि प्रत्येकाला मायक्रोसॉफ्टचे कायमस्वरूपी निराकरण मिळणार नाही.
१५ मे २०२६ ०३:४४ EDT
जरी एक्सचेंज ऑनलाइन हे मायक्रोसॉफ्टचे शिफारस केलेले कॉन्फिगरेशन आहे तुमचे प्लॅटफॉर्म आधुनिक आणि अपडेट ठेवाएक्सचेंज सर्व्हर हा अनेक एंटरप्राइझ क्लायंटच्या पायाभूत सुविधांचा आधार आहे. आता, रेडमंड टेक फर्मने एक सल्ला जारी केला आहे ज्यामुळे एक्सचेंज सर्व्हर ग्राहकांना त्रास होऊ शकतो.
मुळात, Exchange Server 2016, 2019, आणि SE मध्ये एक सुरक्षा भेद्यता आहे, ज्यामुळे आक्रमणकर्त्याला आउटलुक वेब ऍक्सेस (OWA) मध्ये उघडले जाणारे खास तयार केलेले ईमेल पाठवून पीडिताच्या ब्राउझर संदर्भात अनियंत्रित JavaScript कोड कार्यान्वित करण्यास सक्षम करते आणि विशिष्ट प्रकारे संवाद साधला जातो. होत आहे येथे CVE-2026-42897 म्हणून ट्रॅक केले आणि “गंभीर” ची कमाल तीव्रता रँकिंग नियुक्त केली आहे.
सध्यासाठी, मायक्रोसॉफ्ट आहे अर्पण दोन शमन. पहिला एक शिफारस केलेला दृष्टीकोन आहे आणि ग्राहकांना एक्सचेंज EM सेवा सक्षम करणे आवश्यक आहे, जे आपोआप हा हल्ला वेक्टर कमी करते. हे लक्षात घेणे महत्त्वाचे आहे की ही सेवा सप्टेंबर 2021 मध्ये रिलीझ करण्यात आली होती आणि ती डीफॉल्टनुसार सक्षम केली गेली आहे, त्यामुळे केवळ स्पष्टपणे अक्षम केलेल्या ग्राहकांवरच परिणाम होतो.
दुसरे शमन अशा ग्राहकांसाठी आहे ज्यांनी एक्सचेंज EM सेवा कोणत्याही कारणास्तव अक्षम केली आहे. त्यांना वर्णन केलेली स्क्रिप्टेड शमन प्रक्रिया लागू करण्याचा सल्ला दिला जातो येथे.
तथापि, या दोन्ही पद्धतींपैकी कोणतीही ठोस निराकरणे नाहीत, कारण ते इतर समस्यांना कारणीभूत ठरतील, खाली तपशीलवार:
- OWA प्रिंट कॅलेंडर कार्यक्षमता कदाचित कार्य करणार नाही. वर्कअराउंड म्हणून डेटा कॉपी करा किंवा तुम्ही आउटलुक डेस्कटॉप क्लायंट मुद्रित किंवा वापरू इच्छित कॅलेंडरचा स्क्रीनशॉट घ्या.
- इनलाइन प्रतिमा प्राप्तकर्त्यांच्या OWA वाचन उपखंडात योग्यरित्या प्रदर्शित होऊ शकत नाहीत. एक उपाय म्हणून, ईमेल संलग्नक म्हणून प्रतिमा पाठवा किंवा Outlook डेस्कटॉप क्लायंट वापरा.
- OWA प्रकाश (/?layout=light मध्ये समाप्त होणारी OWA URL) योग्यरित्या कार्य करत नाही. कृपया लक्षात घ्या की हे वैशिष्ट्य अनेक वर्षांपूर्वी नापसंत केले गेले आहे आणि नियमित उत्पादन वापरासाठी नाही.
- आम्हाला “या एक्सचेंज आवृत्तीसाठी अवैध शमन” दर्शविणाऱ्या शमनबद्दल माहिती आहे. शमन तपशीलात. ही समस्या कॉस्मेटिक आहे आणि स्थिती “लागू” म्हणून दर्शविल्यास शमन यशस्वीरित्या लागू होते. यावर उपाय कसा करायचा याचा आम्ही तपास करत आहोत.
चांगली बातमी अशी आहे की मायक्रोसॉफ्ट योग्य आणि मजबूत निराकरणावर काम करत आहे. एक्सचेंज SE ला ते सार्वजनिक अपडेट म्हणून प्राप्त होईल, तर एक्सचेंज 2016 आणि 2019 अद्यतने केवळ अशा ग्राहकांना ऑफर केली जातील ज्यांच्याकडे एक्सचेंज सर्व्हर एक्स्टेंडेड सिक्युरिटी अपडेट्स (ESU) प्रोग्रामच्या कालावधी 2 साठी पैसे दिले. कालावधी 1 ग्राहकांना अद्यतन मिळणार नाही कारण त्यांचा प्रोग्राम एप्रिल 2026 मध्ये कालबाह्य झाला आहे. शेवटी, एक्सचेंज ऑनलाइन वापरकर्ते आराम करू शकतात कारण त्यांच्यावर या सुरक्षितता भेद्यतेचा अजिबात परिणाम होणार नाही.
