Exchange 2003 - pierwsza dziura?

Microsoft sprawdza nieoficjalne informacje o tym, że w udostępnionym kilka tygodni temu serwerze pocztowym Exchange 2003 wykryto poważny błąd, umożliwiający jego użytkownikom uzyskiwanie dostępu do cudzych skrzynek pocztowych.

Z informacji opublikowanych przez jednego z użytkowników Exchange 2003 na liście mailingowej NTBugtraq wynika, że błąd znajduje się w module Outlook Web Access. Problem polega na tym, że użytkownicy logujący się do systemu pocztowego za pośrednictwem przeglądarki internetowej mogą, w pewnych okolicznościach, uzyskać pełny dostęp do kont innych użytkowników (mogą więc przeglądać ich korespondencję czy też wysyłać wiadomości w ich imieniu).

Po przeprowadzeniu wstępnego dochodzenia przedstawiciele Microsoftu potwierdzili, że w Exchange 2003 może występować podobny problem - ale tylko w przypadku, gdy wyłączony jest protokół Kerberos (co, według Microsoftu, zdarza się niezmiernie rzadko).

Z nieoficjalnych informacji wynika, że koncern przygotował już uaktualnienie, mające usuwać ów błąd (teraz trwają jego testy). Microsoft nie potwierdził oficjalnie tych doniesień "Po zakończeniu sprawdzania tego problemu podejmiemy działania, których celem będzie zapewnienie naszym klientom pełnego bezpieczeństwa" - czytamy w oświadczeniu Microsoftu.


Zobacz również