Como a vulnerabilidade do IIS (Security Advisory 971492) afecta o Exchange 2003
A Microsoft publicou recentemente o Security Advisory 971492, que alerta para uma vulnerabilidade nos Internet Information Services (IIS) 6.0, 5.1 e 5.0 (7.0 não é afectado), que pode permitir elevação de privilégios.
Esta vulnerabilidade apenas ocorre quando o WebDAV está activado. Como os servidores Exchange Server 2003 utilizam WebDAV para permitir o acesso às mailboxes, estes servidores estão potencialmente em risco.
Para saber se o WebDAV está ou não a ser utilizado por um servidor, podem utilizar o método descrito pela Jane Lewis no seu blog.
Para mitigar o risco, sigam os procedimentos descritos no Microsoft Security Advisory 971492.
Links Relacionados:
- Microsoft Security Advisory (971492)
- Microsoft Issues Security Alert on IIS Web Server
- Microsoft confirms serious IIS bug, downplays threat
[UPDATE]
De acordo com o Security Research and Defense blog, o OWA não é afectado:
Question: Is Outlook Web Access (OWA) vulnerable to the authentication bypass?
Answer: No, OWA is not vulnerable to this vulnerability. Exchange 2007 and earlier supported the WebDAV protocol but they did so with an Exchange implementation of WebDAV which only reads/write to/from the Exchange store. It does not interact with the filesystem directly.
Sem comentários:
Enviar um comentário