Security Lab

Неавторизованный доступ в OWA

Дата публикации:07.09.2001
Дата изменения:17.10.2006
Всего просмотров:1494
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

Одна из функций Outlook Web Access (OWA) в Exchange 5.5 - способность искать глобальный список адресов (GAL). В соответствии с дизайном, это - заверенная функция, осуществленная как двухъярусная архитектура - передний ярус обеспечивает интерфейс пользователя, а конечный ярус фактически исполняет поиск. Однако, только передний ярус фактически проверяет идентификацию. Нападавший, который посылает должным образом отформатированный запрос к конечному ярусу, может просматривать GAL без подтверждения. Уязвимость позволяет нападающему изучать почтовые псевдонимы пользователей.

Уязвимость работает только в Exchange 5.5 с включенным OWA. Для устранения скачайте патч:

http://www.microsoft.com/technet/security/bulletin/ms01-047.asp