微软在2004年8月的每月例行安全公告(MS04-026)中称:"Exchange Server 5.5 Outlook Web Access中存在一个允许跨站点脚本执行和欺骗攻击的安全漏洞"。此漏洞可能允许攻击者在有漏洞的系统上运行恶意代码,可以通过如下网址访问:http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0203。
详细资料
没有证据表明微软在发布安全公告和升级补丁之前对这个漏洞发表过任何声明,或将其威胁公诸于众。 此漏洞是由于Outlook Web Access验证HTTP重定向查询输入(HTTP redirection query input)的一个方式上的弱点造成的,升级后可以纠正这个缺陷。微软报告称由于这个漏洞可能会使Web浏览器的缓存和中间代理服务器的缓存中被插入欺骗数据。 MBSA(Microsoft Baseline Security Analyzer) 1.2版本提供更准确的安全更新检测,另外SMS(Systems Management Server)也可以帮助您检测和部署此安全更新。MS04-026更新替代微软安全公告 MS03-047中提供的安全更新。
适用性
受影响的是Microsoft Exchange Server 5.5 SP4而Microsoft Exchange 2000 Server和Microsoft Exchange Server 2003不受影响。
危害等级――中等
Microsoft把它的风险等级仅仅定为了中,因为受到威胁的服务没有安装到所有的Exchange上。而且风险到目前为止还没有显现出来,不过要注意Microsoft的风险等级判定不是依靠造成多大损害来判定的。如果你的系统是易受攻击的,那么任何远程代码执行的威胁对你的系统都是关键的,所以这种风险对那些在Exchange 5.5上运行OWA的组织来说是有重大危险的。
缓解因素
如果用户使用SSL保护的连接来访问Outlook Web Access,则不会因为将欺骗内容放在中间代理服务器缓存中而受到威胁。这是因为SSL会话数据是加密的,并且没有缓存在中间代理服务器中。即使你匿名访问OWA,也只有那些授权用户才能利用这个漏洞为自己谋利。
修复和应用
在应用补丁之前你应该先安装Exchange 5.5 Service Pack 4。 如果Outlook Web Access不需要,你可以移除它,那样会降低风险性。详细的指令参见知识库文章290287。
另一个工作环境是通过Exchange管理员禁用OWA。你需要对每个Exchange站点进行这样的操作。
最后的话
我一直认为微软公司应该使用一个不同的弱点评估体系来显示所有微软以前评估过的单独的因素。而今天我们看到的这个评介体系是简单的,但却不能传达更多的信息。如果你没有安装一个受到影响的系统,那你的风险等级是零。但是如果你有一个易受攻击的系统,那么这时的危险等级很可能是高的,而这同一个缺陷经过全面评估后就被定为中等。
以下是在多方面考虑的基础上评估攻击的等级:
使用危险(Exploit danger):关键性的
公诸于众的广泛程度:低
使用时被发现的可能性:低
潜在影响系统的数量:低
如果遵循最优的方法实行的风险:低
综合危险(Overall risk):中等
我推荐Microsoft采用这种方法来评定风险的等级。
同样,我认为不得不提醒那些重要的管理员,至少每年对微软发放这些补丁和关联的知识库文章给予更多的信任。我没有内部报告,但我会查看附加在安全公告末尾的免责声明:
微软在Knowledge Base里提供的信息是“如同”没有任何担保。微软放弃了所有担保,甚至是诸如此类的表述或暗示,包括产品规格和适用于某些特殊场合。在任何条件下,微软及其供应商都不会对你的损害负责,不管是直接的、间接的、偶然的、必然的,商业利益的损失或特殊破坏,即使微软及其供应商考虑到了这些损害。
现在,我不是一个律师,并且在这个领域也没有野心,但是我确实知道这'如同'你买了一部二手车。在微软对所有危险的放弃责任时,还有一点重要要注意,就是这些威胁甚至是他们已知的。 也就是说,要记住你是在你自己的系统上确定安装的这些补丁能正常工作,但安装了这些补丁不能保证对你网络的其它部分不会造成破坏。