[MS/Exchange 2000] Schwachstelle im Outlook Web Access (OWA)
(2001-09-28 10:22:28+00)
Quelle:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-049.aspDer Microsoft Exchange 2000 Server mit Outlook Web Access (OWA) besitzt eine Schwachstelle wodurch ein Denial of Service (DoS) Angriff möglich ist.
Betroffene Systeme
- Microsoft Exchange 2000 Server mit Outlook Web Access (OWA)
Einfallstor
OWA Anfragen
Auswirkung
Denial of Service (DoS) Angriff
Typ der Verwundbarkeit
design flaw
Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Microsoft Exchange 2000 Server mit Outlook Web Access (OWA) bearbeiten Zugriffe auf die Mailbox von authentifizierten Benutzern ohne vorherige Überprüfung der übergebenen Ordnerstruktur. Mittels entsprechend konstruierter Anfragen auf nicht existente Ordner in der Mailbox an den OWA-Server wird die CPU des die Anfrage bearbeitenden Systems (im allgemeinen der OWA-Server) stark beansprucht. Durch wiederholte Anfragen nach tief geschachtelten Datenstrukturen in einer Mailbox (Ordner mit tiefer Unterordnerstruktur) an den OWA-Server durch einen zugelassenen Benutzer können die Systemressourcen des beherbergenden Rechners soweit in Anspruch genommen werde, daß das System nicht mehr in der Lage ist, andere Aufgaben zu bearbeiten.
Gegenmaßnahmen
Microsoft stellt einen Patch zur Verfügung:
- Microsoft Exchange 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32431
Weitere Information zu diesem Thema
- Microsoft Security Bulletin MS01-049 Deeply-nested OWA Request Can Consume Server CPU Availability
Weitere Artikel zu diesem Thema:
- [MS/Exchange] Erneut fehlerhafter Patch für Exchange 2000 Server (2001-06-15)
Der bereits korrigierte Patch zur Beseitigung der Schwachstelle im Microsoft Exchange 2000 Server Outlook Web Access (OWA) ist erneut fehlerhaft. Microsoft stellt abermals eine korrigierte Version des Patch zur Verfügung.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=494