Vulnerability Bulletins |
Múltiples ejecuciones de código en Microsoft Exchange |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Microsoft |
| Affected software |
Microsoft Exchange 2000 Server Service Pack 3 Microsoft Exchange Server 2003 Service Pack 1 Microsoft Exchange Server 2003 Service Pack 2 Microsoft Exchange Server 2007 |
Description |
|
|
Se han descubierto múltiples vulnerabilidades en Microsoft Exchange Server. Las vulnerabilidades son descritas a continuación. - CVE-2007-0220: Se ha descubierto una vulnerabilidad del tipo cross-site scripting en Outlook Web Access (OWA) para Microsoft Exchange Server 2000 SP3, 2003 SP1 y SP2. La vulnerabilidad reside en que no maneja correctamente una etiqueta con caracteres UTF. Un atacante remoto podría ejecutar scripts arbitrarios, modificar contenido u obtener información sensible mediante un script con caracteres UTF como archivo adjunto. - CVE-2007-0039: Se ha descubierto una vulnerabilidad en Microsoft Exchange Server 2000 SP3, 2003 SP1 y SP2 y en 2007. La vulnerabilidad reside en un error en la funcionalidad Exchange Collaboration Data Objects (EXCDO). Un atacante remoto podría causar una denegación de servicio mediante un una petición de contenido especialmente construida en un archivo del tipo Internet Calendar (iCal). - CVE-2007-0213: Se ha descubierto una vulnerabilidad en Microsoft Exchange Server 2000 SP3, 2003 SP1 y SP2 y en 2007. La vulnerabilidad reside en que no decodifica correctamente ciertos correos electrónicos codificados con MIME. Un atacante remoto podría ejecutar código arbitrario mediante una codificación MIME en base64 de un mensage. - CVE-2007-0221: Se ha descubierto una vulnerabilidad en Microsoft Exchange Server 2000 SP3. La vulnerabilidad reside en el manejo incorrecto de un comando IMAP. Un atacante remoto podría causar una denegación de servicio mediante un comando IMAP especialmente construido. |
|
Solution |
|
|
Actualización de software Microsoft Microsoft Exchange 2000 Server Service Pack 3 http://www.microsoft.com/downloads/details.aspx?FamilyId=21968843-4A81-4F1D-8207-5B0A710E3157 Microsoft Exchange Server 2003 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?FamilyId=5E7939BE-73D1-461C-8C79-EDDB0F1459FC Microsoft Exchange Server 2003 Service Pack 2 http://www.microsoft.com/downloads/details.aspx?FamilyId=1ABF93DA-D765-4876-96B5-ACB2D2A48F8F Microsoft Exchange Server 2007 http://www.microsoft.com/downloads/details.aspx?FamilyId=356874EF-C9C0-4842-99F0-E449E9940358 |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2007-0220 CVE-2007-0039 CVE-2007-0213 CVE-2007-0221 |
| BID |
23806 23808 23809 23810 |
Other resources |
|
|
Microsoft Security Bulletin MS07-026 http://www.microsoft.com/spain/technet/security/Bulletin/MS07-026.mspx |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2007-05-10 |