发布日期:2003-10-15
更新日期:2003-10-17
受影响系统:
Microsoft Exchange Server 5.0SP2
Microsoft Exchange Server 5.0SP1
Microsoft Exchange Server 5.0
Microsoft Exchange Server 2000 SP3
Microsoft Exchange Server 2000 SP2
Microsoft Exchange Server 2000 SP1
Microsoft Exchange Server 2000
- Microsoft Windows XP
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows 2000 Server SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Datacenter Server SP3
- Microsoft Windows 2000 Datacenter Server SP2
- Microsoft Windows 2000 Datacenter Server SP1
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Advanced Server SP3
- Microsoft Windows 2000 Advanced Server SP2
- Microsoft Windows 2000 Advanced Server SP1
- Microsoft Windows 2000 Advanced Server
不受影响系统:
Microsoft Exchange Server 2003
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CAN-2003-0714
Microsoft Exchange Server是一款Microsoft公司开发的邮件服务程序。
Exchange Server 2.5和2000对恶意verb请求缺少充分处理,远程攻击者可以利用这个漏洞以Exchange Server进程权限在系统上执行任意指令。
Exchange Server 5.5中在Internet mail服务中存在一个安全问题,允许未验证用户连接Exchange Server的SMTP端口,发送特殊构建的扩展verb请求,导致分配一个超大内存,这可使Internet Mail服务关闭或者使服务停止响应。
在Exchange 2000 Server中同样存在上面这个问题,这种请求可引起类似Exchange Server 5.5的拒绝服务。另外如果攻击者精心构建提交数据,可能以Exchange Server进程权限在系统上执行任意指令。
<*来源:Microsoft Security Team (secure@microsoft.com)
链接
ASP" target=_blank>http://www.microsoft.com/technet/security/bulletin/MS03-046.asp
