マイクロソフト社は、OWAバグに対するパッチを再リリース
概要:
マイクロソフト社は、Exchange Server 5.5のOutlook Web Access (OWA)に存在するバグのパッチを再リリースした。元のパッチでは、サーバーにInternet Explorer (IE) 5.0以降のバージョンがインストールされていなければならなかった。(ID#106456、2001年12月7日
国際
海外情報
マイクロソフト社は、Exchange Server 5.5のOutlook Web Access (OWA)に存在するバグのパッチを再リリースした。元のパッチでは、サーバーにInternet Explorer (IE) 5.0以降のバージョンがインストールされていなければならなかった。(ID#106456、2001年12月7日)。
このパッチは、IE 5.5 Service Pack 2以降がインストールされているOWAサーバーにインストールする必要がある。OWAサーバーとは、OWAサービスがインストールされているInternet Information Servicesサーバーを意味する。OWAサーバー上でExchangeが実行されているかどうかは、具体的な設定による。
攻撃者はメールの本文にHTMLスクリプトを埋め込むことによってこのバグを利用でき、そのメッセージがIEで読まれた際に正当なユーザーの特権を行使できるようになる。OWAは最初にExchange Server 5.0にバンドルされて出荷されたものだが、ユーザーがウェブブラウザーを使ってインターネット経由でメールボックスをアクセスできるようにするアプリケーションである。このバグは、OWAのコンテンツフィルター機能がスクリプトを検出できない場合があることに起因している。
Mitre社のCommon Vulnerabilities and Exposures (CVE) Editorial Boardは、この問題にCAN-2001-0726という識別番号を与えた。詳細情報は
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0726
を参照。
情報ソース:
Microsoft Corp. (Security Bulletin MS01-057 (Version 2) ) Dec.07, 2001
http://www.microsoft.com/technet/security/bulletin/MS01-057.asp
分析:
(iDEFENSE米国) このバグを利用することにより、攻撃者は受信者のExchangeのメールボックスをそのユーザーと同じ特権で使用できるようになる(フォルダーやメッセージの変更、メールの送信など)。
検知方法:
Exchange 5.5のOWAサービスが影響を受ける。
暫定処置:
IEのバージョン条件を満たさないOWAサーバーにパッチがインストールされている場合は、IE 5.5 SP 2にアップグレードし、セキュリティホットフィックスサポートを受けられるようにする。
ベンダー情報:
パッチは下記で入手可能:
http://download.microsoft.com/download/exch55/Patch/05.05.77.2655/NT45/EN-US/Q313576engi386.EXE
また、詳細情報は、
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313576
を参照。
(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【16:14 GMT、12、10、2001】
《ScanNetSecurity》