Несколько уязвимостей в Microsoft Exchange

Дата публикации:
09.05.2007
Дата изменения:
27.01.2008
Всего просмотров:
2604
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-0039
CVE-2007-0213
CVE-2007-0220
CVE-2007-0221
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Отказ в обслуживании
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Microsoft Exchange Server 2000
Microsoft Exchange 2000 Enterprise Server
Microsoft Exchange Server 2003
Microsoft Exchange Server 2007
Уязвимые версии:
Microsoft Exchange Server 2000
Microsoft Exchange Server 2003
Microsoft Exchange Server 2007
Microsoft Exchange 2000 Enterprise Server

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, вызвать отказ в обслуживании или выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за недостаточной обработки UTF символов в Outlook Web Access (OWA) при открытии вложенных скриптовых файлов. Удаленный пользователь может с помощью специально сформированного файла выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за ошибки в Exchange Collaboration Data Objects (EXCDO) при обработке запросов к календарю. Удаленный пользователь может с помощью специально сформированного iCal файла вызвать отказ в обслуживании почтовой службы.

3. Уязвимость существует из-за ошибки при декодировании MIME писем. Удаленный пользователь может с помощью специально сформированного email сообщения, содержащего base64 кодированные данные, выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки при обработке IMAP запросов. Удаленный пользователь может с помощью специально сформированной IMAP команды аварийно завершить работу службы.

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя.

Exchange 2000 Server SP3 with Exchange 2000 Post-SP3 Update Rollup of August 2004:
http://www.microsoft.com/downloads/details.aspx?FamilyId=21968843-4A81-4F1D-8207-5B0A710E3157

Exchange Server 2003 SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=5E7939BE-73D1-461C-8C79-EDDB0F1459FC

Exchange Server 2003 SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=1ABF93DA-D765-4876-96B5-ACB2D2A48F8F

Exchange Server 2007:
http://www.microsoft.com/downloads/details.aspx?FamilyId=356874EF-C9C0-4842-99F0-E449E9940358

Ссылки: (MS07-026) Vulnerabilities in Microsoft Exchange Could Allow Remote Code Execution (931832)

или введите имя

CAPTCHA
10-05-2007 10:14:12
Кто-нибудь ставил себе этот патч? Я прямо-таки опасаюсь сразу ставить - можть опять что-нибудь рухнет после установки... Ох уж эти мелкомягкие....
0 |
1
10-05-2007 19:10:49
Чесно говоря тоже страшно ставить.... Ну, кто будет первопроходимцем?
0 |