Boletines de Vulnerabilidades |
Múltiples ejecuciones de código en Microsoft Exchange |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Microsoft |
Software afectado |
Microsoft Exchange 2000 Server Service Pack 3 Microsoft Exchange Server 2003 Service Pack 1 Microsoft Exchange Server 2003 Service Pack 2 Microsoft Exchange Server 2007 |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en Microsoft Exchange Server. Las vulnerabilidades son descritas a continuación. - CVE-2007-0220: Se ha descubierto una vulnerabilidad del tipo cross-site scripting en Outlook Web Access (OWA) para Microsoft Exchange Server 2000 SP3, 2003 SP1 y SP2. La vulnerabilidad reside en que no maneja correctamente una etiqueta con caracteres UTF. Un atacante remoto podría ejecutar scripts arbitrarios, modificar contenido u obtener información sensible mediante un script con caracteres UTF como archivo adjunto. - CVE-2007-0039: Se ha descubierto una vulnerabilidad en Microsoft Exchange Server 2000 SP3, 2003 SP1 y SP2 y en 2007. La vulnerabilidad reside en un error en la funcionalidad Exchange Collaboration Data Objects (EXCDO). Un atacante remoto podría causar una denegación de servicio mediante un una petición de contenido especialmente construida en un archivo del tipo Internet Calendar (iCal). - CVE-2007-0213: Se ha descubierto una vulnerabilidad en Microsoft Exchange Server 2000 SP3, 2003 SP1 y SP2 y en 2007. La vulnerabilidad reside en que no decodifica correctamente ciertos correos electrónicos codificados con MIME. Un atacante remoto podría ejecutar código arbitrario mediante una codificación MIME en base64 de un mensage. - CVE-2007-0221: Se ha descubierto una vulnerabilidad en Microsoft Exchange Server 2000 SP3. La vulnerabilidad reside en el manejo incorrecto de un comando IMAP. Un atacante remoto podría causar una denegación de servicio mediante un comando IMAP especialmente construido. |
|
Solución |
|
Actualización de software Microsoft Microsoft Exchange 2000 Server Service Pack 3 http://www.microsoft.com/downloads/details.aspx?FamilyId=21968843-4A81-4F1D-8207-5B0A710E3157 Microsoft Exchange Server 2003 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?FamilyId=5E7939BE-73D1-461C-8C79-EDDB0F1459FC Microsoft Exchange Server 2003 Service Pack 2 http://www.microsoft.com/downloads/details.aspx?FamilyId=1ABF93DA-D765-4876-96B5-ACB2D2A48F8F Microsoft Exchange Server 2007 http://www.microsoft.com/downloads/details.aspx?FamilyId=356874EF-C9C0-4842-99F0-E449E9940358 |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2007-0220 CVE-2007-0039 CVE-2007-0213 CVE-2007-0221 |
BID |
23806 23808 23809 23810 |
Recursos adicionales |
|
Microsoft Security Bulletin MS07-026 http://www.microsoft.com/spain/technet/security/Bulletin/MS07-026.mspx |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2007-05-10 |