Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-464

[MS/Exchange 5.5] Schwachstelle im OWA von Microsoft Exchange 5.5
(2001-09-07 13:44:37+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/09/msg00070.html

Durch fehlende Authentifizierung im Outlook Web Access (OWA) von Microsoft Exchange 5.5 bei der Suchanfrage auf die global address list (GAL), können E-Mail Aliases ausgelesen werden.

Betroffene Systeme

  • Microsoft Exchange 5.5

Einfallstor
HTTP Anfrage auf das Backend der global address list (GAL) des Outlook Web Access (OWA) von Microsoft Exchange 5.5 Servern (mit OWA)

Auswirkung
Gewinnung von Informationen wie E-Mail Aliases für die normalerweise eine Authentifizierung notwendig ist.

Typ der Verwundbarkeit
design flaw (keine Authentifizierung notwendig)

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Suchfunktion des Outlook Web Access (OWA) führt für das Backend auf die global address list (GAL) keine Benutzerauthentifizierung durch, wodurch Angreifer mittels HTTP Anfragen Information wie E-Mail Aliases über das Netz (und ohne der eigentlich notwendigen Authentifizierung) gewinnen können.
Von dieser Schwachstelle sind nur Microsoft Exchange 5.5 Server mit Outlook Web Access (OWA) betroffen.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.