[SECURITY-L] CAIS-Alerta: Vulnerabilidade no Exchange Server 5.5 Outlook Web Access (828489)

Seg Out 20 13:39:15 -02 2003

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Vulnerabilidade no Exchange Server 5.5 Outlook Web
 Access (828489)
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Wed, 15 Oct 2003 16:14:29 -0300 (BRST)

-----BEGIN PGP SIGNED MESSAGE-----

Prezados,

O CAIS esta' repassando o alerta divulgado pela Microsoft, "Microsoft
Security Bulletin MS03-047: Vulnerability in Exchange Server 5.5 Outlook
Web Access Could Allow Cross-Site Scripting Attack (828489)", que trata da
identificacao de uma vulnerabilidade de cross-site scripting no componente
Outlook Web Access, que pode ser explorada remotamente permitindo a um
atacante a execucao de codigo arbitrario. Esta vulnerabilidade que afeta o
Exchange Server 5.5 e' diferente da reportada no alerta MS03-046.

A vulnerabilidade so' pode ser explorada se o atacante enviar um e-mail
com um link formatado de uma maneira especial, induzindo o usuario a
clica-lo. Outra forma seria criar um web site com o link acima, e induzir
o usuario a acessar o site e clicar no link. O ataque so' sera bem
sucedido se o usuario, no momento que acessar o link, estiver logado no
servidor Exchange usando a interface web do Outlook.

Sistemas Afetados:

	. Microsoft Exchange Server 5.5, Service Pack 4

Sistemas nao Afetados:

	. Microsoft Exchange 2000 Server
	. Microsoft Exchange Server 2003

Correções disponíveis:

A correção consiste na aplicação do patch recomendado pela Microsoft e
disponível em:

. Microsoft Exchange Server 5.5, Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=C516FE75-95CE-4FFF-B83D-9B170FCD0C1C&displaylang=en

Para aplicar este patch, é necessario que o Exchange Server 5.5 esteja
atualizado com o Service Pack 4. O pacote pode ser encontrado em:

. http://www.microsoft.com/exchange/downloads/55/sp4.asp

Maiores informações:

http://www.microsoft.com/technet/security/bulletin/ms03-047.asp

Identificadores do CVE:  CAN-2003-0712, (http://cve.mitre.org)

O CAIS recomenda aos administradores de plataformas Microsoft que
mantenham seus sistemas e aplicativos sempre atualizados.

Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################

Title: Vulnerability in Exchange Server 5.5 Outlook Web Access Could
Allow Cross-Site Scripting Attack (828489)

Date: October 15, 2003

Software: Microsoft Exchange Server 5.5, Service Pack 4

Impact: Remote Code Execution

Maximum Severity Rating: Moderate

Bulletin: MS03-047

The Microsoft Security Response Center has released Microsoft
Security Bulletin MS03-047

What Is It?
The Microsoft Security Response Center has released Microsoft
Security Bulletin MS03-047 which concerns a vulnerability in Exchange
Server 5.5 Outlook Web Access.  Customers are advised to review the
information in the bulletin and test and deploy the patch in their
environments, if applicable.

More information is now available at
http://www.microsoft.com/technet/security/bulletin/MS03-047.asp

If you have any questions regarding this alert please contact your
Technical Account Manager or Application Development Consultant.