S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 septembre 2001
N° CERTA-2001-AVI-100
Affaire suivie par: CERT-FR
le 27 septembre 2001

Avis du CERT-FR

Objet: Vulnérabilité de Microsoft Exchange 2000 Server Outlook Web Access

Gestion du document

Référence CERTA-2001-AVI-100
Titre Vulnérabilité de Microsoft Exchange 2000 Server Outlook Web Access
Date de la première version 27 septembre 2001
Date de la dernière version 27 septembre 2001
Source(s) Bulletin Microsoft MS01-049
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Déni de service.

Systèmes affectés

Microsoft Exchange 2000 Server Outlook Web Access.

Résumé

Un utilisateur mal intentionné peut, par le biais du module OWA de Microsoft Exchange 2000, épuiser les ressources du serveur.

Description

OWA (Outlook Web Access) est un service d'Exchange 2000 Server qui permet à un utilisateur de se servir de son navigateur pour accéder à sa boîte aux lettres Exchange.

Un utilisateur authentifié ayant établi une connexion sur le service OWA peut, en demandant de nombreuses fois l'accès à des dossiers inexistants dans l'arborescence de sa messagerie, occuper toutes les ressources du serveur. Ces actions aboutissent à la réalisation d'un déni de service en bloquant la consultation de la messagerie pour les autres utilisateurs.

Solution

Télécharger le correctif pour Microsoft Exchange 2000 disponible sur le site Microsoft :

http://www.microsoft.com/Downloads/Release.asp?releaseID=32431

Documentation

Bulletin Microsoft :

http://www.microsoft.com/technet/security/bulletin/MS01-049.asp

Gestion détaillée du document

    le 27 septembre 2001
    version initiale.