发布日期：2006-05-09
更新日期：2006-05-09

受影响系统：

Microsoft Exchange Server 2003 SP2
Microsoft Exchange Server 2003 SP1
Microsoft Exchange Server 2000

描述：

---

BUGTRAQ  ID: 17908
CVE(CAN) ID: CVE-2006-0027

Microsoft Exchange是一款由微软开发的邮件服务程序。

Exchange Server所提供的EXCDO和CDOEX功能没有正确地处理邮件消息中的某些iCAL和vCAL属性，远程攻击者可以向Exchange Server发送包含有特制vCAL或iCAL属性的邮件消息导致代码执行。

<*来源：Microsoft
  
  链接：http://www.microsoft.com/technet/security/Bulletin/MS06-019.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA06-129A.html
*>

建议：

---

临时解决方法：

NSFOCUS建议采取如下措施以降低威胁：

* 对于所有客户端和邮件传输协议，要求对到运行Microsoft Exchange Server的服务器的连接进行认证。
* 在Microsoft Exchange Server上阻止iCal/vCal。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS06-019）以及相应补丁:
MS06-019：Vulnerability in Microsoft Exchange Could Allow Remote Code Execution (916803)
链接：http://www.microsoft.com/technet/security/Bulletin/MS06-019.mspx?pf=true

浏览次数：3501
严重程度：0（网友投票）