发布日期：2001-12-14
更新日期：2001-12-14

受影响系统：

Microsoft Exchange Server 5.5SP4
Microsoft Exchange Server 5.5SP3
Microsoft Exchange Server 5.5SP2
Microsoft Exchange Server 5.5SP1
Microsoft Exchange Server 5.5
   - Microsoft BackOffice 4.5
   - Microsoft Windows 2000
   - Microsoft Windows 2000 SP1
   - Microsoft Windows 2000 SP2
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 4.0SP1
   - Microsoft Windows NT 4.0SP2
   - Microsoft Windows NT 4.0SP3
   - Microsoft Windows NT 4.0SP4
   - Microsoft Windows NT 4.0SP5
   - Microsoft Windows NT 4.0SP6
   - Microsoft Windows NT 4.0SP6a

描述：

---

BUGTRAQ  ID: 3650
CVE(CAN) ID: CVE-2001-0726

Microsoft Outlook Web Access是Microsoft Exchange Server的一部分，允许用户通
过浏览器访问电子邮件。

该软件存在一个安全问题，可能导致用户敏感信息泄露。

由于没有对用户的输入进行严格的过滤，通过在电子邮件中HTML代码，可能发起跨站脚
本攻击。

<*来源：Lex Arquette of WhiteHat Security
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-12/0063.html
        http://www.microsoft.com/technet/security/bulletin/MS01-057.asp
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时停止使用Microsoft OWA Server

厂商补丁：

微软已经为此发布了一个安全公告（MS01-057）以及相应补丁程序：
http://www.microsoft.com/technet/security/bulletin/MS01-057.asp

补丁下载：

  Microsoft Exchange 5.5:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=34402

浏览次数：3774
严重程度：0（网友投票）