информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеГде водятся OGRыАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
А как аналогичную уязвимость закрыть в Exchange 2000 ? 01.12.03 18:21  Число просмотров: 1480
Автор: maraev Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ситуация проявляется следующим образом:
После запуска Outlook Web Access (OWA) залогиниваешься как легальный пользователь, и читаешь пару писем из входного ящика. Затем, изменив вручную в командной строке браузера идентификатор легального пользователя на идентификатор имеющегося в системе другого пользователя, пытаешься несколько раз подряд вызвать новую страничку. Как ни странно, после нескольких прерываний (по ESC) и обращения к OWA (Enter) удается зайти в каталог этого другого легального пользователя, но уже без его пароля. Сильной закономерности найти не удалось, но эффект иногда повторяется.

<site updates>
MS изучает возможную уязвимость Exchange 2003 25.11.03 03:20  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
MS изучает возможную уязвимость Exchange 2003
Computerworld http://www.computerworld.com/securitytopics/security/story/0, 10801, 87506, 00.html

Потенциальная уязвимость находится в компоненте Outlook Web Access (OWA). Сообщается, что залогинившись с его помощью, пользователи случайным образом могут попасть в чужие почтовые ящики, причем с полными правами доступа. Предварительное расследование показало, что это вроде бы происходит при запрещенной Kerberos-аутентификации, но обнаруживший данную ошибку администратор настаивает на том, что ничего не запрещал и вообще использовал дефолтовую конфигурацию.
Расследование продолжается, патч тестируется.


Полный текст
А как аналогичную уязвимость закрыть в Exchange 2000 ? 01.12.03 18:21  
Автор: maraev Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ситуация проявляется следующим образом:
После запуска Outlook Web Access (OWA) залогиниваешься как легальный пользователь, и читаешь пару писем из входного ящика. Затем, изменив вручную в командной строке браузера идентификатор легального пользователя на идентификатор имеющегося в системе другого пользователя, пытаешься несколько раз подряд вызвать новую страничку. Как ни странно, после нескольких прерываний (по ESC) и обращения к OWA (Enter) удается зайти в каталог этого другого легального пользователя, но уже без его пароля. Сильной закономерности найти не удалось, но эффект иногда повторяется.

1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach