CERTA-2001-AVI-100
Vulnerability from certfr_avis - Published: - Updated:
Un utilisateur mal intentionné peut, par le biais du module OWA de Microsoft Exchange 2000, épuiser les ressources du serveur.
Description
OWA (Outlook Web Access) est un service d'Exchange 2000 Server qui permet à un utilisateur de se servir de son navigateur pour accéder à sa boîte aux lettres Exchange.
Un utilisateur authentifié ayant établi une connexion sur le service OWA peut, en demandant de nombreuses fois l'accès à des dossiers inexistants dans l'arborescence de sa messagerie, occuper toutes les ressources du serveur. Ces actions aboutissent à la réalisation d'un déni de service en bloquant la consultation de la messagerie pour les autres utilisateurs.
Solution
Télécharger le correctif pour Microsoft Exchange 2000 disponible sur le site Microsoft :
http://www.microsoft.com/Downloads/Release.asp?releaseID=32431
Microsoft Exchange 2000 Server Outlook Web Access.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eMicrosoft Exchange 2000 Server Outlook Web Access.\u003c/P\u003e",
"content": "## Description\n\nOWA (Outlook Web Access) est un service d\u0027Exchange 2000 Server qui\npermet \u00e0 un utilisateur de se servir de son navigateur pour acc\u00e9der \u00e0 sa\nbo\u00eete aux lettres Exchange.\n\nUn utilisateur authentifi\u00e9 ayant \u00e9tabli une connexion sur le service OWA\npeut, en demandant de nombreuses fois l\u0027acc\u00e8s \u00e0 des dossiers inexistants\ndans l\u0027arborescence de sa messagerie, occuper toutes les ressources du\nserveur. Ces actions aboutissent \u00e0 la r\u00e9alisation d\u0027un d\u00e9ni de service\nen bloquant la consultation de la messagerie pour les autres\nutilisateurs.\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif pour Microsoft Exchange 2000 disponible sur le\nsite Microsoft :\n\n http://www.microsoft.com/Downloads/Release.asp?releaseID=32431\n",
"cves": [],
"links": [
{
"title": "Bulletin Microsoft :",
"url": "http://www.microsoft.com/technet/security/bulletin/MS01-049.asp"
}
],
"reference": "CERTA-2001-AVI-100",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-09-27T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service"
}
],
"summary": "Un utilisateur mal intentionn\u00e9 peut, par le biais du module OWA de\nMicrosoft Exchange 2000, \u00e9puiser les ressources du serveur.\n",
"title": "Vuln\u00e9rabilit\u00e9 de Microsoft Exchange 2000 Server Outlook Web Access",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin Microsoft MS01-049",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.