修正Exchange 5.5 OWA远程代码执行漏洞

2008-02-23 06:02:37来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折


  微软在2004年8月的每月例行安全公告(MS04-026)中称:"Exchange Server 5.5 Outlook Web Access中存在一个允许跨站点脚本执行和欺骗攻击的安全漏洞"。此漏洞可能允许攻击者在有漏洞的系统上运行恶意代码,能够通过如下网址访问:http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0203。
  
  周详资料
  没有证据表明微软在发布安全公告和升级补丁之前对这个漏洞发表过任何声明,或将其威胁公诸于众。 此漏洞是由于Outlook Web Access验证HTTP重定向查询输入(HTTP redirection query input)的一个方式上的弱点造成的,升级后能够纠正这个缺陷。微软报告称由于这个漏洞可能会使Web浏览器的缓存和中间代理服务器的缓存中被插入欺骗数据。 MBSA(Microsoft Baseline Security Analyzer) 1.2版本提供更准确的安全更新检测,另外SMS(Systems Management Server)也能够帮助您检测和部署此安全更新。MS04-026更新替代微软安全公告 MS03-047中提供的安全更新。
  
  适用性
  受影响的是Microsoft Exchange Server 5.5 SP4而Microsoft Exchange 2000 Server和Microsoft Exchange Server 2003不受影响。
  
  危害等级——中等 www_bitscn_com
  Microsoft把他的风险等级仅仅定为了中,因为受到威胁的服务没有安装到任何的Exchange上。而且风险到现在为止还没有显现出来,但是要注意Microsoft的风险等级判定不是依靠造成多大损害来判定的。假如您的系统是易受攻击的,那么任何远程代码执行的威胁对您的系统都是关键的,所以这种风险对那些在Exchange 5.5上运行OWA的组织来说是有重大危险的。
  
  缓解因素
  假如用户使用SSL保护的连接来访问Outlook Web Access,则不会因为将欺骗内容放在中间代理服务器缓存中而受到威胁。这是因为SSL会话数据是加密的,并且没有缓存在中间代理服务器中。即使您匿名访问OWA,也只有那些授权用户才能利用这个漏洞为自己谋利。
  
  修复和应用
  在应用补丁之前您应该先安装Exchange 5.5 Service Pack 4。 假如Outlook Web Access无需,您能够移除他,那样会降低风险性。周详的指令参见知识库文章290287。
  
  另一个工作环境是通过Exchange管理员禁用OWA。您需要对每个Exchange站点进行这样的操作。
  
  最后的话
  我一直认为微软公司应该使用一个不同的弱点评估体系来显示任何微软以前评估过的单独的因素。而今天我们看到的这个评介体系是简单的,但却不能传达更多的信息。假如您没有安装一个受到影响的系统,那您的风险等级是零。但是假如您有一个易受攻击的系统,那么这时的危险等级很可能是高的,而这同一个缺陷经过全面评估后就被定为中等。

bitscn.com


  
  以下是在多方面考虑的基础上评估攻击的等级:
  
  
  使用危险(Exploit danger):关键性的
  
  公诸于众的广泛程度:低
  
  使用时被发现的可能性:低
  
  潜在影响系统的数量:低
  
  假如遵循最优的方法实行的风险:低
  
  综合危险(Overall risk):中等
  我推荐Microsoft采用这种方法来评定风险的等级。
  
  同样,我认为不得不提醒那些重要的管理员,至少每年对微软发放这些补丁和关联的知识库文章给予更多的信任。我没有内部报告,但我会查看附加在安全公告末尾的免责声明:
  
  微软在Knowledge Base里提供的信息是“如同”没有任何担保。微软放弃了任何担保,甚至是诸如此类的表述或暗示,包括产品规格和适用于某些特别场合。在任何条件下,微软及其供给商都不会对您的损害负责,不管是直接的、间接的、偶然的、必然的,商业利益的损失或特别破坏,即使微软及其供给商考虑到了这些损害。
  
  现在,我不是个律师,并且在这个领域也没有野心,但是我确实知道这'如同'您买了一部二手车。在微软对任何危险的放弃责任时,更有一点重要要注意,就是这些威胁甚至是他们已知的。 也就是说,要记住您是在您自己的系统上确定安装的这些补丁能正常工作,但安装了这些补丁不能确保对您网络的其他部分不会造成破坏。

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇: SQLServer同ExchangeServer结合应用SQL Mail1

下一篇: 用VMware GSX和W2K3实现Exchange 2003群集