CERTA-2001-AVI-100
Vulnerability from certfr_avis

Un utilisateur mal intentionné peut, par le biais du module OWA de Microsoft Exchange 2000, épuiser les ressources du serveur.

Description

OWA (Outlook Web Access) est un service d'Exchange 2000 Server qui permet à un utilisateur de se servir de son navigateur pour accéder à sa boîte aux lettres Exchange.

Un utilisateur authentifié ayant établi une connexion sur le service OWA peut, en demandant de nombreuses fois l'accès à des dossiers inexistants dans l'arborescence de sa messagerie, occuper toutes les ressources du serveur. Ces actions aboutissent à la réalisation d'un déni de service en bloquant la consultation de la messagerie pour les autres utilisateurs.

Solution

Télécharger le correctif pour Microsoft Exchange 2000 disponible sur le site Microsoft :

http://www.microsoft.com/Downloads/Release.asp?releaseID=32431

Microsoft Exchange 2000 Server Outlook Web Access.

Impacted products
Vendor Product Description
References
Bulletin Microsoft MS01-049 None vendor-advisory
Bulletin Microsoft : - other

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eMicrosoft Exchange 2000 Server Outlook Web Access.\u003c/P\u003e",
  "content": "## Description\n\nOWA (Outlook Web Access) est un service d\u0027Exchange 2000 Server qui\npermet \u00e0 un utilisateur de se servir de son navigateur pour acc\u00e9der \u00e0 sa\nbo\u00eete aux lettres Exchange.\n\nUn utilisateur authentifi\u00e9 ayant \u00e9tabli une connexion sur le service OWA\npeut, en demandant de nombreuses fois l\u0027acc\u00e8s \u00e0 des dossiers inexistants\ndans l\u0027arborescence de sa messagerie, occuper toutes les ressources du\nserveur. Ces actions aboutissent \u00e0 la r\u00e9alisation d\u0027un d\u00e9ni de service\nen bloquant la consultation de la messagerie pour les autres\nutilisateurs.\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif pour Microsoft Exchange 2000 disponible sur le\nsite Microsoft :\n\n    http://www.microsoft.com/Downloads/Release.asp?releaseID=32431\n",
  "cves": [],
  "initial_release_date": "2001-09-27T00:00:00",
  "last_revision_date": "2001-09-27T00:00:00",
  "links": [
    {
      "title": "Bulletin Microsoft :",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS01-049.asp"
    }
  ],
  "reference": "CERTA-2001-AVI-100",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-09-27T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Un utilisateur mal intentionn\u00e9 peut, par le biais du module OWA de\nMicrosoft Exchange 2000, \u00e9puiser les ressources du serveur.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de Microsoft Exchange 2000 Server Outlook Web Access",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin Microsoft MS01-049",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.