Неавторизованный доступ в OWA

Дата публикации:
07.09.2001
Дата изменения:
17.10.2006
Всего просмотров:
1003
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание:

Одна из функций Outlook Web Access (OWA) в Exchange 5.5 - способность искать глобальный список адресов (GAL). В соответствии с дизайном, это - заверенная функция, осуществленная как двухъярусная архитектура - передний ярус обеспечивает интерфейс пользователя, а конечный ярус фактически исполняет поиск. Однако, только передний ярус фактически проверяет идентификацию. Нападавший, который посылает должным образом отформатированный запрос к конечному ярусу, может просматривать GAL без подтверждения. Уязвимость позволяет нападающему изучать почтовые псевдонимы пользователей.

Уязвимость работает только в Exchange 5.5 с включенным OWA. Для устранения скачайте патч:

http://www.microsoft.com/technet/security/bulletin/ms01-047.asp


 


или введите имя

CAPTCHA