CH azonosító
CH-3647Angol cím
Microsoft Exchange Server Outlook Web Access Cross-Site Request ForgeryFelfedezés dátuma
2010.09.13.Súlyosság
AlacsonyÉrintett rendszerek
Exchange Server 2003Exchange Server 2007
Microsoft
Érintett verziók
Microsoft Exchange Server 2003
Microsoft Exchange Server 2007
Összefoglaló
A Microsoft Exchange Server egy sérülékenységét jelentették, amelyet kihasználva a támadók cross-site request forgery (XSRF/CSRF) támadásokat indíthatnak.
Leírás
A sérülékenység oka, hogy az Outlook Web Access lehetővé teszi a felhasználók számára, hogy bizonyos műveleteket HTTP kéréseken keresztül hajtsanak végre anélkül, hogy a kérések ellenőrzésével kapcsolatban bármiféle megfelelő érvényességi ellenőrzést végezne. Ezt kihasználva, pl. be lehet állítani egy auto-forward szabályt, vagy meg lehet változtatni a felhasználó beállításait, ha egy belépett felhasználó meglátogat egy speciálisan erre a célra elkészített weboldalt.
A sérülékenységet a Microsoft Exchange Server 2003 SP2 és a Microsoft Exchange Server 2007 SP1 és SP2 verziókban jelentették.
Megoldás
A sérülékenységet javították a Microsoft Exchange Server 2007 SP3-ban.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.microsoft.com
Egyéb referencia: sites.google.com
CVE-2010-3213 - NVD CVE-2010-3213
SECUNIA 41421