[MS/Exchange 2000] Schwachstelle im Outlook Web Access (OWA)
(2001-09-28 10:22:28+00) Druckversion
Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-049.asp
Der Microsoft Exchange 2000 Server mit Outlook Web Access (OWA) besitzt eine Schwachstelle wodurch ein Denial of Service (DoS) Angriff möglich ist.
Betroffene Systeme
- Microsoft Exchange 2000 Server mit Outlook Web Access (OWA)
Einfallstor
OWA Anfragen
Auswirkung
Denial of Service (DoS) Angriff
Typ der Verwundbarkeit
design flaw
Gefahrenpotential
mittel
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
Microsoft Exchange 2000 Server mit Outlook Web Access (OWA) bearbeiten
Zugriffe auf die Mailbox von authentifizierten Benutzern ohne
vorherige Überprüfung der übergebenen Ordnerstruktur. Mittels
entsprechend konstruierter Anfragen auf nicht existente Ordner
in der Mailbox an den OWA-Server wird die CPU des die Anfrage
bearbeitenden Systems (im allgemeinen der OWA-Server) stark beansprucht.
Durch wiederholte Anfragen nach tief geschachtelten Datenstrukturen
in einer Mailbox (Ordner mit tiefer Unterordnerstruktur) an den
OWA-Server durch einen zugelassenen Benutzer können die
Systemressourcen des beherbergenden Rechners soweit in
Anspruch genommen werde, daß das System nicht mehr in der Lage ist,
andere Aufgaben zu bearbeiten.
Gegenmaßnahmen
Microsoft stellt einen Patch zur Verfügung:
- Microsoft Exchange 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32431
Weitere Information zu diesem Thema
- Microsoft Security Bulletin MS01-049 Deeply-nested OWA Request Can Consume Server CPU Availability
Weitere Artikel zu diesem Thema:
- [MS/Exchange] Erneut fehlerhafter Patch für Exchange 2000 Server (2001-06-15)
Der bereits korrigierte Patch zur Beseitigung der Schwachstelle im Microsoft Exchange 2000 Server Outlook Web Access (OWA) ist erneut fehlerhaft. Microsoft stellt abermals eine korrigierte Version des Patch zur Verfügung.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.