 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 09 mai 2007
No CERTA-2007-AVI-206 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Microsoft Exchange
Tableau 1: Gestion du document
| Référence |
CERTA-2007-AVI-206 |
| Titre |
Multiples
vulnérabilités dans Microsoft
Exchange |
| Date de la première
version |
09 mai 2007 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Microsoft MS07-026 du 8
mai 2007 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- déni de service à distance.
- Microsoft Exchange Server 2000 Service Pack 3 (avec le
Post-Service Pack 3 rollup du mois d'août 2004) ;
- Microsoft Exchange Server 2003 Service Pack 1 ;
- Microsoft Exchange Server 2003 Service Pack 2 ;
- Microsoft Exchange Server 2007.
Plusieurs vulnérabilités présentes dans
Microsoft Exchange Server permettent d'exécuter
du code arbitraire à distance ou de réaliser un
déni de service.
Quatre vulnérabilités sont présentes dans
Microsoft Exchange Server :
- la première concerne Outlook Web Access
(AWO), une personne malintentionnée peut
exécuter du code arbitraire par le biais d'un courriel
spécialement conçu ;
- la seconde affecte Exchange Collaboration Data
Objects (EXCDO), un déni de service
à distance peut être réalisé par
le biais d'un courriel contenant un fichier iCal,
concernant le calendrier et la planification,
spécialement formaté ;
- la troisième concerne la gestion des formats
MIME, une personne malveillante peut exécuter
du code arbitraire par le biais d'un courriel
spécialement conçu encodé en
Base64 ;
- la dernière vulnérabilité concerne
la gestion des requêtes IMAP, un déni
de service peut être réalisé par le biais
d'une requête IMAP spécialement
conçue.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 09 mai 2007
- version initiale.
CERTA
2012-01-04
|
|
)
