информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Где водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 С наступающим 
 Apple, Google, Microsoft и Mozilla... 
 Cloudflare, Apple и Fastly предложили... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
А как аналогичную уязвимость закрыть в Exchange 2000 ? 01.12.03 18:21  Число просмотров: 1164
Автор: maraev Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ситуация проявляется следующим образом:
После запуска Outlook Web Access (OWA) залогиниваешься как легальный пользователь, и читаешь пару писем из входного ящика. Затем, изменив вручную в командной строке браузера идентификатор легального пользователя на идентификатор имеющегося в системе другого пользователя, пытаешься несколько раз подряд вызвать новую страничку. Как ни странно, после нескольких прерываний (по ESC) и обращения к OWA (Enter) удается зайти в каталог этого другого легального пользователя, но уже без его пароля. Сильной закономерности найти не удалось, но эффект иногда повторяется.

<site updates>
MS изучает возможную уязвимость Exchange 2003 25.11.03 03:20  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
MS изучает возможную уязвимость Exchange 2003
Computerworld http://www.computerworld.com/securitytopics/security/story/0, 10801, 87506, 00.html

Потенциальная уязвимость находится в компоненте Outlook Web Access (OWA). Сообщается, что залогинившись с его помощью, пользователи случайным образом могут попасть в чужие почтовые ящики, причем с полными правами доступа. Предварительное расследование показало, что это вроде бы происходит при запрещенной Kerberos-аутентификации, но обнаруживший данную ошибку администратор настаивает на том, что ничего не запрещал и вообще использовал дефолтовую конфигурацию.
Расследование продолжается, патч тестируется.


Полный текст
А как аналогичную уязвимость закрыть в Exchange 2000 ? 01.12.03 18:21  
Автор: maraev Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ситуация проявляется следующим образом:
После запуска Outlook Web Access (OWA) залогиниваешься как легальный пользователь, и читаешь пару писем из входного ящика. Затем, изменив вручную в командной строке браузера идентификатор легального пользователя на идентификатор имеющегося в системе другого пользователя, пытаешься несколько раз подряд вызвать новую страничку. Как ни странно, после нескольких прерываний (по ESC) и обращения к OWA (Enter) удается зайти в каталог этого другого легального пользователя, но уже без его пароля. Сильной закономерности найти не удалось, но эффект иногда повторяется.

1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach