Microsoft Security Advisory ADV190007 (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190007) indicates a workaround to address "PrivExchange" Elevation of Privilege Vulnerability. The suggested Microsoft workaround (setting a Throttling Policy for EWSMaxSubscriptions with a value of zero) would have an adverse effect on the Cisco Webex Hybrid Calendar Service.
Microsoftin tietoturvaohjeen ADV190007 korjaustoimenpide vaikuttaa hybridikalenteripalveluun.
Microsoftin tietoturvaohjeen ADV1900007 aiheuttamat ongelmat hybridikalenteripalvelun kanssa
Microsoftin turvallisuusneuvonta ADV190007 (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190007) osoittaa kiertotavan "PrivExchange" -haavoittuvuuden korottamiseen. Microsoftin ehdottamalla kiertotavalla (EWSMaxSubscriptionsin Throttling Policy -käytännön asettaminen arvoksi nolla) olisi haitallinen vaikutus Cisco Webex Hybrid Calendar Service -palveluun.
Vaikutukset voivat olla seuraavat:
- Käyttäjät eivät välttämättä näe kokouspäivityksiä, joten @webex/@meet ei pääse käsittelemään niitä.
- One Button to Push (OBTP) ja kokousluettelon merkinnät eivät ehkä näy.
Jos haluat korjata haavoittuvuuden vaikuttamatta hybridikalenteripalveluun, asenna Microsoft Exchange Server -versiollesi sopiva tietoturvapäivitys, joka on lueteltu osoitteessa https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190007.
Hybridikalenteripalvelu käyttää suoratoistoilmoituksia push-ilmoitusten sijaan, mikä on haavoittuvuus. Ratkaisulla on kuitenkin laajempi vaikutus kuin vain push-ilmoituksilla.