RNP > Serviços > Segurança em redes > Alertas do CAIS

Vulnerabilidade no Exchange Server 5.5

Microsoft Security Bulletin MS05-029

[CAIS, 14.06.2005-18:06, revisão 01]

O CAIS está repassando o alerta da Microsoft, intitulado "MS05-029 - Vulnerability in Outlook Web Access for Exchange Server 5.5 Could Allow Cross-Site Scripting Attacks (895179)", que trata de vulnerabilidade de cross-site scripting (XSS) no serviço Outlook Web Access (OWA) do Exchange Server.

Um atacante pode tentar explorar esta vulnerabilidade ao enviar uma mensagem especialmente formada para um dos usuários do servidor. Este usuário abriria a mensagem por meio do serviço OWA, o que permitiria que o servidor Exchange vulnerável execute scripts no contexto da sessão do usuário em questão.

Sistemas afetados:

• Microsoft Exchange Server 5.5 Service Pack 4

Sistemas não afetados:

• Microsoft Exchange 2000 Server Service Pack 3 com Exchange 2000 Post-Service Pack 3 Update Rollup de Augosto de 2004.
• Microsoft Exchange Server 2003
• Microsoft Exchange Server 2003 Service Pack 1

Correções disponíveis:

Recomenda-se fazer a atualização para as versões disponíveis em:

• Microsoft Exchange Server 5.5 Service Pack 4

Mais informações:

• MS05-029 - Vulnerability in Outlook Web Access for Exchange Server 5.5 Could Allow Cross-Site Scripting Attacks (895179)
• Microsoft Brasil Security
• Technet Brasil - Central de Segurança

Identificador CVE (http://www.cve.mitre.org): CAN-2005-0563

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

O CAIS Alerta também é oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais