Version PDF - Certa
Transcription
Version PDF - Certa
PREMIER MINISTRE S.G.D.S.N Paris, le 27 septembre 2001 No CERTA-2001-AVI-100 Agence nationale de la sécurité des systèmes d’information CERTA Affaire suivie par : CERTA AVIS DU CERTA Objet : Vulnérabilité de Microsoft Exchange 2000 Server Outlook Web Access Conditions d’utilisation de ce document : Dernière version de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html http://www.certa.ssi.gouv.fr/site/CERTA-2001-AVI-100 Gestion du document Référence Titre Date de la première version Date de la dernière version Source(s) Pièce(s) jointe(s) CERTA-2001-AVI-100 Vulnérabilité de Microsoft Exchange 2000 Server Outlook Web Access 27 septembre 2001 – Bulletin Microsoft MS01-049 Aucune TAB . 1 – gestion du document Une gestion de version détaillée se trouve à la fin de ce document. 1 Risque Déni de service. 2 Systèmes affectés Microsoft Exchange 2000 Server Outlook Web Access. 3 Résumé Un utilisateur mal intentionné peut, par le biais du module OWA de Microsoft Exchange 2000, épuiser les ressources du serveur. 4 Description OWA (Outlook Web Access) est un service d’Exchange 2000 Server qui permet à un utilisateur de se servir de son navigateur pour accéder à sa boîte aux lettres Exchange. Un utilisateur authentifié ayant établi une connexion sur le service OWA peut, en demandant de nombreuses fois l’accès à des dossiers inexistants dans l’arborescence de sa messagerie, occuper toutes les ressources du serveur. Secrétariat général de la défense et de la sécurité nationale – ANSSI – COSSI – CERTA 51, bd de La Tour-Maubourg Tél.: 01 71 75 84 50 Web: http://www.certa.ssi.gouv.fr 75700 Paris 07 SP Fax: 01 71 75 84 70 Mél : [email protected] Ces actions aboutissent à la réalisation d’un déni de service en bloquant la consultation de la messagerie pour les autres utilisateurs. 5 Solution Télécharger le correctif pour Microsoft Exchange 2000 disponible sur le site Microsoft : http://www.microsoft.com/Downloads/Release.asp?releaseID=32431 6 Documentation Bulletin Microsoft : http://www.microsoft.com/technet/security/bulletin/MS01-049.asp Gestion détaillée du document 27 septembre 2001 version initiale. 2