Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

barra-separadora

Boletines de Vulnerabilidades


Múltiples ejecuciones de código en Microsoft Exchange

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado Microsoft
Software afectado Microsoft Exchange 2000 Server Service Pack 3
Microsoft Exchange Server 2003 Service Pack 1
Microsoft Exchange Server 2003 Service Pack 2
Microsoft Exchange Server 2007

Descripción

Se han descubierto múltiples vulnerabilidades en Microsoft Exchange Server. Las vulnerabilidades son descritas a continuación.

- CVE-2007-0220: Se ha descubierto una vulnerabilidad del tipo cross-site scripting en Outlook Web Access (OWA) para Microsoft Exchange Server 2000 SP3, 2003 SP1 y SP2. La vulnerabilidad reside en que no maneja correctamente una etiqueta con caracteres UTF. Un atacante remoto podría ejecutar scripts arbitrarios, modificar contenido u obtener información sensible mediante un script con caracteres UTF como archivo adjunto.

- CVE-2007-0039: Se ha descubierto una vulnerabilidad en Microsoft Exchange Server 2000 SP3, 2003 SP1 y SP2 y en 2007. La vulnerabilidad reside en un error en la funcionalidad Exchange Collaboration Data Objects (EXCDO). Un atacante remoto podría causar una denegación de servicio mediante un una petición de contenido especialmente construida en un archivo del tipo Internet Calendar (iCal).

- CVE-2007-0213: Se ha descubierto una vulnerabilidad en Microsoft Exchange Server 2000 SP3, 2003 SP1 y SP2 y en 2007. La vulnerabilidad reside en que no decodifica correctamente ciertos correos electrónicos codificados con MIME. Un atacante remoto podría ejecutar código arbitrario mediante una codificación MIME en base64 de un mensage.

- CVE-2007-0221: Se ha descubierto una vulnerabilidad en Microsoft Exchange Server 2000 SP3. La vulnerabilidad reside en el manejo incorrecto de un comando IMAP. Un atacante remoto podría causar una denegación de servicio mediante un comando IMAP especialmente construido.

Solución



Actualización de software

Microsoft
Microsoft Exchange 2000 Server Service Pack 3
http://www.microsoft.com/downloads/details.aspx?FamilyId=21968843-4A81-4F1D-8207-5B0A710E3157
Microsoft Exchange Server 2003 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=5E7939BE-73D1-461C-8C79-EDDB0F1459FC
Microsoft Exchange Server 2003 Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=1ABF93DA-D765-4876-96B5-ACB2D2A48F8F
Microsoft Exchange Server 2007
http://www.microsoft.com/downloads/details.aspx?FamilyId=356874EF-C9C0-4842-99F0-E449E9940358

Identificadores estándar

Propiedad Valor
CVE CVE-2007-0220
CVE-2007-0039
CVE-2007-0213
CVE-2007-0221
BID 23806
23808
23809
23810

Recursos adicionales

Microsoft Security Bulletin MS07-026
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-026.mspx

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2007-05-10
Volver

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración