‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[转载]Microsoft Exchange Server OWA脚本注入漏洞

灵猫

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
13 
精华
0 
积分
21 
阅读权限
100 
在线时间
1 小时 
注册时间
2006-5-19 
最后登录
2006-8-16 
楼主 发表于 2006-6-19 15:50  只看该作者

[转载]Microsoft Exchange Server OWA脚本注入漏洞

发布日期:2006-06-13
更新日期:2006-06-16

受影响系统:
Microsoft Exchange Server 2003 SP2
Microsoft Exchange Server 2003 SP1
Microsoft Exchange Server 2000
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 18381
CVE(CAN) ID: CVE-2006-1193

Microsoft Exchange Server是一款流行的邮件服务器。

Exchange Server在处理邮件中的脚本存在漏洞,导致脚本代码在用户机器上非授权执行。

运行Outlook Web Access (OWA)的Exchange Server在某些情况下没有正确的过滤邮件中的
脚本,导致脚本注入漏洞。攻击者可以通过创建有特制脚本的邮件消息来利用这个漏洞。如果运行了特制脚本的话,就会在客户端以用户的安全环境执行。利用这个漏洞需要用户交互。

<*来源:Daniel Fabian (d.fabian@sec-consult.com
  
  链接:http://www.microsoft.com/technet/security/Bulletin/MS06-029.mspx
      http://www.us-cert.gov/cas/techalerts/TA06-164A.html
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

* 在运行Exchange Server的计算机上禁用Outlook Web Access (OWA)。

厂商补丁:

Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS06-029)以及相应补丁:
MS06-029:Vulnerability in Microsoft Exchange Server Running Outlook Web Access Could Allow Script Injection (912442)
链接:http://www.microsoft.com/technet/security/Bulletin/MS06-029.mspx
冷霜映雪原上清,月朗无云万里晴,凝水成冰河成路,君成仙上别客卿。来自nettf.net的问候。

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题