S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 juin 2005
N° CERTA-2005-AVI-211
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de Outlook Web Access pour Microsoft Exchange Serveur 5.5

Gestion du document

Référence CERTA-2005-AVI-211
Titre Vulnérabilité de Outlook Web Access pour Microsoft Exchange Serveur 5.5
Date de la première version15 juin 2005
Date de la dernière version15 juin 2005
Source(s) Bulletin de sécurité MS05-029 de Microsoft
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Exécution de code arbitraire à distance

Systèmes affectés

Microsoft Exchange Server 5.5 Service Pack 4.

Description

Selon Microsoft, Microsoft Outlook Web Access présente une vulnérabilité de type cross site scripting (cf. note d'information CERTA-2002-INF-001).

Par le biais d'un message électronique habilement constitué, un utilisateur mal intentionné peut exploiter cette vulnérabilité pour conduire une attaque par injection de code portant ainsi atteinte à la confidentialité des données de l'utilisateur ou, dans certains cas, permettant l'exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs.

Documentation

Gestion détaillée du document

    le 15 juin 2005
    version initiale.