Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-464

[MS/Exchange 5.5] Schwachstelle im OWA von Microsoft Exchange 5.5
(2001-09-07 13:44:37+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/09/msg00070.html

Durch fehlende Authentifizierung im Outlook Web Access (OWA) von Microsoft Exchange 5.5 bei der Suchanfrage auf die global address list (GAL), können E-Mail Aliases ausgelesen werden.

Betroffene Systeme

Einfallstor
HTTP Anfrage auf das Backend der global address list (GAL) des Outlook Web Access (OWA) von Microsoft Exchange 5.5 Servern (mit OWA)

Auswirkung
Gewinnung von Informationen wie E-Mail Aliases für die normalerweise eine Authentifizierung notwendig ist.

Typ der Verwundbarkeit
design flaw (keine Authentifizierung notwendig)

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Suchfunktion des Outlook Web Access (OWA) führt für das Backend auf die global address list (GAL) keine Benutzerauthentifizierung durch, wodurch Angreifer mittels HTTP Anfragen Information wie E-Mail Aliases über das Netz (und ohne der eigentlich notwendigen Authentifizierung) gewinnen können.
Von dieser Schwachstelle sind nur Microsoft Exchange 5.5 Server mit Outlook Web Access (OWA) betroffen.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=464