校内各单位：

根据上级网安部门的安全提示，4月13日，微软发布安全更新公告，修复了其电子邮件服务组件Exchange的4个远程命令执行高危漏洞(CVE-2021-28480、CVE-2021-28481、CVE-2021-28482、CVE-2021-28483），攻击者利用这些漏洞能够在未经身份验证的情况下，无需用户交互远程执行任意命令。请校内各单位高度重视，排查是否部署了受漏洞影响的Exchange产品，及时安装官方补丁，修复漏洞，以免发生安全事件。

1、受漏洞影响的电子邮件服务组件Exchange的版本：

Exchange Server 2013 Cumulative Update 23

Exchange Server 2016 Cumulative Update 20

Exchange Server 2016 Cumulative Update 19

Exchange Server 2019 Cumulative Update 9

Exchange Server 2019 Cumulative Update 8

2、微软安全更新公告地址：

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617

3、补丁安装链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28480

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28481

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28482

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28483

暂时不具备更新条件时，可以通过将Exchange服务器与外网隔离，限制不受信任的访问，通过VPN访问Exchange服务器等临时性措施来缓解漏洞影响。

信息化建设与管理中心

2021年4月29日