发布日期:2008-10-15 更新日期:2008-11-13 受影响系统: Microsoft Outlook Web Access for Exchange 2003 描述: -------------------------------------------------------------------------------- BUGTRAQ ID: 31765 CVE(CAN) ID: CVE-2008-1547 Micr
发布日期:2008-10-15
更新日期:2008-11-13
受影响系统:
Microsoft Outlook Web Access for Exchange 2003
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 31765
CVE(CAN) ID: CVE-2008-1547
Microsoft Exchange Server是一款流行的邮件服务器,Outlook Web Access是Exchange中用于通过Web浏览器读取和发送邮件的工具。
Outlook Web Access的exchweb/bin/redir.asp页面存在 重新 定向 漏洞 ,远程攻击者可以在邮件中发送特制的URL,如果用户已经登录的话,则点击该链接就会被立即 重新 定向 到钓鱼网站;如果用户未登录,则点击后会显示登录页面,然后在成功认证后将用户 重新 定向 到钓鱼网站。
链接:http://marc.info/?l=bugtraq&m=122409210619221&w=2
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
https://webmail.example测试数据/exchweb/bin/redir.asp?URL=http://HdhCmsTestexample2测试数据
https://webmail.example测试数据/CookieAuth.dll?GetLogon?url=%2Fexchweb%2Fbin%2Fredir.asp%3FURL%3Dhttp%3A%2F%2FHdhCmsTestexample2测试数据&reason=0
建议:
--------------------------------------------------------------------------------
厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://HdhCmsTestmicrosoft测试数据/technet/security/
查看更多关于MicrosoftOutlookWebAccessredir.aspURI重新定向漏洞的详细内容...