Vulnérabilité de Outlook Web Access pour Microsoft Exchange Serveur 5.5

Gestion du document

Référence	CERTA-2005-AVI-211
Titre	Vulnérabilité de Outlook Web Access pour Microsoft Exchange Serveur 5.5
Date de la première version	15 juin 2005
Date de la dernière version	15 juin 2005
Source(s)	Bulletin de sécurité MS05-029 de Microsoft
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risques

Atteinte à la confidentialité des données
Exécution de code arbitraire à distance

Systèmes affectés

Microsoft Exchange Server 5.5 Service Pack 4.

Description

Selon Microsoft, Microsoft Outlook Web Access présente une vulnérabilité de type cross site scripting (cf. note d'information CERTA-2002-INF-001).

Par le biais d'un message électronique habilement constitué, un utilisateur mal intentionné peut exploiter cette vulnérabilité pour conduire une attaque par injection de code portant ainsi atteinte à la confidentialité des données de l'utilisateur ou, dans certains cas, permettant l'exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs.

Documentation

Bulletin de sécurité #261 d'iDEFENSE du 14 juin 2005 :

http://www.idefense.com/application/poi/display?id=261

Bulletin de sécurité de Microsoft MS05-029 du 14 juin 2005 :

http://www.microsoft.com/technet/security/Bulletin/MS05-029.mpx

Note d'information CERTA-2002-INF-001 :

http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-001/index.html

Avis du CERT-FR