MicrosoftOutlookWebAccessredir.aspURI重新定向漏洞

發(fā)布日期：2008-10-15 更新日期：2008-11-13 受影響系統(tǒng)： Microsoft Outlook Web Access for Exchange 2003 描述： -------------------------------------------------------------------------------- BUGTRAQ ID: 31765 CVE(CAN) ID: CVE-2008-1547 Micr

發(fā)布日期：2008-10-15
更新日期：2008-11-13

受影響系統(tǒng)：
Microsoft Outlook Web Access for Exchange 2003
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 31765
CVE(CAN) ID: CVE-2008-1547

Microsoft Exchange Server是一款流行的郵件服務(wù)器，Outlook Web Access是Exchange中用于通過(guò)Web瀏覽器讀取和發(fā)送郵件的工具。

Outlook Web Access的exchweb/bin/redir.asp頁(yè)面存在重新定向漏洞，遠(yuǎn)程攻擊者可以在郵件中發(fā)送特制的URL，如果用戶已經(jīng)登錄的話，則點(diǎn)擊該鏈接就會(huì)被立即重新定向到釣魚(yú)網(wǎng)站；如果用戶未登錄，則點(diǎn)擊后會(huì)顯示登錄頁(yè)面，然后在成功認(rèn)證后將用戶重新定向到釣魚(yú)網(wǎng)站。

<*來(lái)源：Martin Suess （martin.suess@csnc.ch）

鏈接：http://marc.info/?l=bugtraq&m=122409210619221&w=2
*>

測(cè)試方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能帶有攻擊性，僅供安全研究與教學(xué)之用。使用者風(fēng)險(xiǎn)自負(fù)！

https://webmail.example.com/exchweb/bin/redir.asp?URL=http://www.example2.com
https://webmail.example.com/CookieAuth.dll?GetLogon?url=%2Fexchweb%2Fbin%2Fredir.asp%3FURL%3Dhttp%3A%2F%2Fwww.example2.com&reason=0

建議：
--------------------------------------------------------------------------------
廠商補(bǔ)丁：

Microsoft
---------
目前廠商還沒(méi)有提供補(bǔ)丁或者升級(jí)程序，我們建議使用此軟件的用戶隨時(shí)關(guān)注廠商的主頁(yè)以獲取最新版本：

http://www.microsoft.com/technet/security/

聲明：本網(wǎng)頁(yè)內(nèi)容旨在傳播知識(shí)，若有侵權(quán)等問(wèn)題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com