Risque
- Exécution de code arbitraire à distance ;
- atteinte à la confidentialité des données.
Systèmes affectés
Microsoft Exchange Server 5.5 Service Pack 4.
Description
Selon Microsoft, Microsoft Outlook Web Access présente une vulnérabilité de type cross site scripting (cf. note d'information CERTA-2002-INF-001).
Par le biais d'un message électronique habilement constitué, un utilisateur mal intentionné peut exploiter cette vulnérabilité pour conduire une attaque par injection de code portant ainsi atteinte à la confidentialité des données de l'utilisateur ou, dans certains cas, permettant l'exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs.
Documentation
- Bulletin de sécurité de Microsoft MS05-029 du 14 juin 2005 :
http://www.microsoft.com/technet/security/Bulletin/MS05-029.mpx
- Bulletin de sécurité #261 d'iDEFENSE du 14 juin 2005 :
http://www.idefense.com/application/poi/display?id=261
- Note d'information CERTA-2002-INF-001 :
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-001/index.html
- Référence CVE CAN-2005-0563 :
https://www.cve.org/CVERecord?id=CAN-2005-1213