Exchange存在安全漏洞 微软正处于调查当中 | |
---|---|
http://www.sina.com.cn 2003年11月25日 15:04 ZDNet China | |
ZDNet China 11月25日报道:微软发表Office System2003才一个月,却已经开始调查ExchangeServer 2003当中一个可能的重大漏洞。 这个程序bug,影响Exchange当中的OutlookWebAccess(OWA)组件,OWA提供使用者以网页方式读取邮件及档案夹。 一家财务工具厂商的网络管理员MatthewJohnson表示,使用者通过网页登录邮件帐户之后,有时发现他们有权进入其它人的信箱。Johnson是本月初在NTBugtraq的信息安全邮件群组当中,提到这个问题。 Johnson写到,“这似乎是一个重大的安全漏洞,因为这个问题,我们也关闭OWA。” 微软表示,现在正在调查这个问题。目前看起来,这个问题只会在未激活Kerberos认证的状况下出现。Kerberos是由MIT所开发的一项认证技术,微软使用Kerberos作为服务请求时的认证之用。微软建议使用者保持Kerberos初始设定为激活状况,在调查完成之后,就会发表修补程序以及相关信息。 不过Johnson表示,微软的初步调查并不正确,因为Johnson的公司并未更动ExchangeServer的初始设定,Kerberos应该还是激活的状况。Johnson在两个月前通知微软这个问题,Johnson指出,微软正在进行修补程序的测试。 微软并未对进一步作出响应。 旧版的OWA也曾有过安全问题。微软在2001年时发表Exchange5.5和Exchange2000的OWA修补程序,不过该修补程序反而会造成服务器的超载,接下来第二个修补程序,也一样有严重的问题。 一周半之前,哈佛大学的三年级学生暨顾问公司ThinkComputer的负责人AaronGreenspan在一份白皮书当中指出,Exchange5.5和2000存有漏洞,可能被垃圾邮件厂商用来寄发垃圾邮件。(黄晨哲) |