Controlado desde el
19/10/97 por NedStat
|
MS04-002 Vulnerabilidad en Exchange Server 2003 (832759)
|
|
VSantivirus No. 1287 Año 8, jueves 15 de enero de 2004
MS04-002 Vulnerabilidad en Exchange Server 2003 (832759)
http://www.vsantivirus.com/vulms04-002.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Una vulnerabilidad existente en Exchange Server 2003, puede permitir que, bajo determinadas condiciones, un usuario de Outlook Web Access (OWA), acceda de forma aleatoria, a la casilla de correo de cualquier otro usuario. (832759)
Nivel de gravedad: Moderado
Impacto: Elevación de privilegios
Fecha revisión: 13 de enero de 2004
Software afectado:
Microsoft Exchange Server 2003
Software NO afectado:
Microsoft Exchange 2000 Server
Microsoft Exchange Server 5.5
Estas versiones fueron testeadas y no son vulnerables. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft.
Descripción
Existe una vulnerabilidad en la forma en que las conexiones de hypertexto (HTTP), son reutilizadas en una autentificación mediante el protocolo NTLM (NT Lan Manager), en servidores Microsoft Exchange 2003, sobre el acceso OWA, empleados como frontend (interactúan con el usuario). También cuando se accesa por medio de Outlook Web Access (OWA) en Windows 2000 y Windows server 2003 y cuando son utilizados servidores Exchange 2003 que corren Windows Server 2003 como backend (procesan la información).
Este fallo, puede permitir a un usuario de Outlook Web Access (OWA) acceder, de forma aleatoria, a cualquier otro buzón de correo, perteneciente a otro usuario.
Para estar protegido contra este problema, sólo es necesario instalar esta actualización en los servidores Microsoft Exchange 2003 usados como frontend. Sin embargo, Microsoft recomienda que usted actualice todos sus servidores Microsoft Exchange 2003, de modo que cuando por alguna razón se asignen como servidores frontend, ya estén protegidos.
Rating de Severidad:
Microsoft Exchange Server 2003 (Moderado)
Parches:
El parche puede descargarse del siguiente enlace:
Microsoft Exchange Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=
9542F949-D09B-4199-A837-FBCFC0567676&displaylang=es
Tamaño: 460 KB
Requisitos del sistema
Sistemas operativos compatibles: Windows 2000 Service Pack 3, Windows 2000 Service Pack 4, Windows Server 2003
º Exchange 2003
Nota:
Antes de instalar este parche por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.
Más información:
Microsoft Security Bulletin MS04-002
http://www.microsoft.com/technet/security/bulletin/MS04-002.asp
Microsoft Knowledge Base Article - 832759
http://support.microsoft.com/?kbid=832759
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|