S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 07 décembre 2001
N° CERTA-2001-AVI-160
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité d'OWA dans Microsoft Exchange 5.5

Gestion du document

Référence CERTA-2001-AVI-160
Titre Vulnérabilité d'OWA dans Microsoft Exchange 5.5
Date de la première version07 décembre 2001
Date de la dernière version07 décembre 2001
Source(s) Bulletin Microsoft MS01-057
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire

Systèmes affectés

Microsoft Exchange 5.5.

Résumé

Un utilisateur mal intentionné peut, via la fonction OWA, manipuler la boîte aux lettres d'un utilisateur.

Description

Exchange 5.5 offre une particularité (Outlook Web Access -OWA- ) permettant à des utilisateurs connus d'accèder à leurs méls par l'intermédiaire d'un navigateur classique. OWA se comporte comme un serveur Web et autorise les utilisateurs à lire ou expédier du courrier sans passer par un logiciel de messagerie.

Une vulnérablité présente dans OWA permet, lors de la lecture d'un message au format « HTML », d'exécuter automatiquement des scripts. Ainsi, si un utilisateur mal intentionné expédie un message de ce type à un destinataire utilisant la fonction OWA, le ou les scripts seront exécutés lors de la lecture. Ces scripts peuvent agir sur les méls présents et les modifier, les supprimer, etc.

Contournement provisoire

Si cette fonction n'est pas utilisée par vos utilisateurs, il est recommandé de la désactiver.

Solution

Télécharger le correctif sur le site Microsoft :

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=34402

Documentation

Gestion détaillée du document

    le 07 décembre 2001
    version initiale.