{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Microsoft Exchange 5.5.</P>","content":"## Description\n\nExchange 5.5 offre une particularit\u00e9 (Outlook Web Access -OWA- )\npermettant \u00e0 des utilisateurs connus d'acc\u00e8der \u00e0 leur m\u00e9l par\nl'interm\u00e9diaire d'un navigateur classique. OWA se comporte comme un\nserveur Web et autorise les utilisateurs \u00e0 lire ou exp\u00e9dier du courrier\nsans passer par un logiciel de messagerie.\n\nPour la fonction de recherche, OWA fonctionne sur deux niveaux. Le\npremier effectuant l'authentification entre l'utilisateur et l'interface\nWeb, le second permettant d'effectuer les recherches r\u00e9elles sur les\nadresses m\u00e9ls des autres utilisateurs.\n\nUne vuln\u00e9rabilit\u00e9 situ\u00e9e dans le second niveau permet \u00e0 un utilisateur\ndistant mal intentionn\u00e9 d'acc\u00e9der directement au second niveau d'OWA\nsans s'authentifier, et de r\u00e9cup\u00e9rer ainsi l'ensemble des adresses m\u00e9ls\ndes utilisateurs connus par le serveur.\n\nMicrosoft Exchange 2000 n'est pas affect\u00e9 par cette vuln\u00e9rabilit\u00e9.\n\n## Contournement provisoire\n\nSi cette fonction n'est pas utilis\u00e9e par vos utilisateurs, il est\nrecommand\u00e9 de la d\u00e9sactiver.\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif sur le site Microsoft :\n\n    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32483\n","cves":[],"links":[{"title":"Bulletin Microsoft :","url":"http://www.microsoft.com/technet/security/bulletin/MS01-047.asp"}],"reference":"CERTA-2001-AVI-092","revisions":[{"description":"version initiale.","revision_date":"2001-09-07T00:00:00.000000"}],"risks":[{"description":"Acc\u00e8s \u00e0 la liste des adresses m\u00e9ls d'un serveur exchange 5.5"},{"description":"Contournement des m\u00e9canismes de s\u00e9curit\u00e9"}],"summary":"Un utilisateur distant mal intentionn\u00e9 peut contourner\nl'authentification demand\u00e9e par Microsoft Exchange 5.5 afin de r\u00e9cup\u00e9rer\nla liste compl\u00e8te des adresses m\u00e9ls des utilisateurs de ce serveur.\n","title":"Vuln\u00e9rabilit\u00e9 dans Microsoft Exchange 5.5","vendor_advisories":[{"published_at":null,"title":"Bulletin Microsoft MS01-04","url":null}]}