CERTA-2001-AVI-160
Vulnerability from certfr_avis - Published: - Updated:
Un utilisateur mal intentionné peut, via la fonction OWA, manipuler la boîte aux lettres d'un utilisateur.
Description
Exchange 5.5 offre une particularité (Outlook Web Access -OWA- ) permettant à des utilisateurs connus d'accèder à leurs méls par l'intermédiaire d'un navigateur classique. OWA se comporte comme un serveur Web et autorise les utilisateurs à lire ou expédier du courrier sans passer par un logiciel de messagerie.
Une vulnérablité présente dans OWA permet, lors de la lecture d'un message au format « HTML », d'exécuter automatiquement des scripts. Ainsi, si un utilisateur mal intentionné expédie un message de ce type à un destinataire utilisant la fonction OWA, le ou les scripts seront exécutés lors de la lecture. Ces scripts peuvent agir sur les méls présents et les modifier, les supprimer, etc.
Contournement provisoire
Si cette fonction n'est pas utilisée par vos utilisateurs, il est recommandé de la désactiver.
Solution
Télécharger le correctif sur le site Microsoft :
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=34402
Microsoft Exchange 5.5.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eMicrosoft Exchange 5.5.\u003c/P\u003e",
"content": "## Description\n\nExchange 5.5 offre une particularit\u00e9 (Outlook Web Access -OWA- )\npermettant \u00e0 des utilisateurs connus d\u0027acc\u00e8der \u00e0 leurs m\u00e9ls par\nl\u0027interm\u00e9diaire d\u0027un navigateur classique. OWA se comporte comme un\nserveur Web et autorise les utilisateurs \u00e0 lire ou exp\u00e9dier du courrier\nsans passer par un logiciel de messagerie.\n\nUne vuln\u00e9rablit\u00e9 pr\u00e9sente dans OWA permet, lors de la lecture d\u0027un\nmessage au format \u00ab HTML \u00bb, d\u0027ex\u00e9cuter automatiquement des scripts.\nAinsi, si un utilisateur mal intentionn\u00e9 exp\u00e9die un message de ce type \u00e0\nun destinataire utilisant la fonction OWA, le ou les scripts seront\nex\u00e9cut\u00e9s lors de la lecture. Ces scripts peuvent agir sur les m\u00e9ls\npr\u00e9sents et les modifier, les supprimer, etc.\n\n## Contournement provisoire\n\nSi cette fonction n\u0027est pas utilis\u00e9e par vos utilisateurs, il est\nrecommand\u00e9 de la d\u00e9sactiver.\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif sur le site Microsoft :\n\n http://www.microsoft.com/Downloads/Release.asp?ReleaseID=34402\n",
"cves": [],
"links": [
{
"title": "Bulletin Microsoft :",
"url": "http://www.microsoft.com/technet/security/bulletin/MS01-057.asp"
}
],
"reference": "CERTA-2001-AVI-160",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-12-07T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire"
}
],
"summary": "Un utilisateur mal intentionn\u00e9 peut, via la fonction OWA, manipuler la\nbo\u00eete aux lettres d\u0027un utilisateur.\n",
"title": "Vuln\u00e9rabilit\u00e9 d\u0027OWA dans Microsoft Exchange 5.5",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin Microsoft MS01-057",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.