关于安全公告2737111的更多信息

今天，我们发布了安全公告2737111，描述了Oracle Outside In技术中的漏洞如何影响Microsoft Exchange Server 2007和2010以及FAST Search Server 2010 for SharePoint的文档预览功能。在本博客中，我们将讨论以下内容：

• 什么是Oracle Outside In技术？
• 为什么Microsoft Exchange和FAST Search Server会受到Oracle产品漏洞的影响？
• 有哪些缓解因素可以降低客户的风险？
• 在没有安全更新的情况下，有哪些工作区选项？

什么是Oracle Outside In技术？

Oracle公司向软件开发者（如Microsoft）提供一种名为Oracle Outside In的解决方案，用于访问、转换和控制多种文件格式的内容。Microsoft安全公告2737111描述了Microsoft受到Oracle最近通过其2012年7月关键补丁更新公告解决的漏洞的影响，并建议受影响的用户在全面的Microsoft安全更新可用之前采取步骤保护服务器。

为什么Microsoft Exchange Server和FAST Search Server会受到Oracle软件漏洞的影响？

在Microsoft Exchange Server 2007和Exchange Server 2010中，Outlook Web App（OWA）用户提供了一个名为WebReady文档查看的功能，允许用户将某些附件作为网页查看，而不是依赖本地应用程序打开/查看。Oracle Outside In被服务器后端的转换过程用于支持WebReady功能。Microsoft从Oracle许可此库。

在FAST Search Server 2010 for SharePoint中，“Oracle Outside In”用于在非默认场景中索引文件内容。只有使用FAST Search Server 2010 for SharePoint的SharePoint 2010 SP1安装可能受到此问题的影响，正如我们将在下面的缓解因素部分中描述的那样。

有哪些缓解因素可以降低客户的风险？

在Exchange Server 2007/2010场景中，使用Oracle Outside In的转换过程TranscodingService.exe以LocalService身份运行。Local Service账户是一个内置账户，对资源和对象的访问级别与Users组的成员相同。这种有限的访问有助于在个别服务或进程被破坏时保护系统。以Local Service账户运行的服务以空会话或匿名会话访问网络资源，甚至没有机器凭据。

在FAST Search Server 2010 for SharePoint场景中，使用Oracle Outside In的功能Advanced Filter Pack默认未启用。只有使用FAST Search Server 2010 for SharePoint时，SharePoint Server才会受到影响。

此外，在FAST Search Server 2010 for SharePoint中使用“Oracle Outside In”的进程以类似于Office 2010 Protected View沙箱的受限令牌运行，这进一步限制了攻击者可能访问的内容，即使进程被破坏。

最后，攻击者需要有权将恶意文档上传到将被FAST索引的数据存储之一，例如SharePoint服务器站点。

在没有安全更新的情况下，有哪些工作区选项？

在Exchange Server 2007/2010场景中，我们建议在所有CAS服务器的VDir上禁用WebReady文档查看。您可以使用单个PowerShell命令完成此操作，如下所述：

1. 以具有Exchange管理员权限的用户身份启动Exchange Management Shell。
2. 发出以下PowerShell命令：

   1	Get-OwaVirtualDirectory | where {$_.OwaVersion -eq ‘Exchange2007’ -or $_.OwaVersion -eq ‘Exchange2010’} | Set-OwaVirtualDirectory -WebReadyDocumentViewingOnPublicComputersEnabled:$False -WebReadyDocumentViewingOnPrivateComputersEnabled:$False

   注意：在Exchange Server 2010上，还需要服务器管理权限。

这将立即禁用所有当前和未来OWA会话中通过WebReady文档查看呈现的能力。用户仍然可以使用本地应用程序打开和查看附件。只有浏览器内文档预览功能会受到影响。

在FAST Search Server 2010场景中，如果安装了FAST Search且Advanced Filter Pack已启用，我们建议禁用Advanced Filter Pack。要执行此操作，请按照http://technet.microsoft.com/en-us/library/ff383314中描述的以下步骤操作：

在FAST Search Server 2010 for SharePoint管理服务器（或单服务器）上，按照以下步骤操作：

1. 在“开始”菜单上，单击“所有程序”。
2. 单击“Microsoft FAST Search Server 2010 for SharePoint”。
3. 右键单击“Microsoft FAST Search Server 2010 for SharePoint shell”并选择“以管理员身份运行”。
4. 在命令提示符下，浏览到安装文件夹下的installer\scripts。
5. 键入以下命令：.\AdvancedFilterPack.ps1 -disable

特别感谢Greg Lenti、Brent Alinger、Travis Rhodes、Anund Lie和David LeBlanc对此问题的帮助。

• Suha Can, Elia Florio, Chengyun Chu from MSRC Engineering