Microsoft 安全公告 MS03-047

MS03-047 - Exchange Server 5.5 Outlook Web Access 中的安全漏洞可能会允许跨站点的脚本攻击 (828489)

发布日期：2003年10月15日
版本号：1.0

摘要

本文档的目标读者：运行 Microsoft® Exchange Server 5.5 Outlook® Web Access 的服务器的系统管理员
安全漏洞的影响：执行远程代码
最高严重等级：中等
建议：系统管理员应该在运行 Outlook Web Access 5.5 的服务器上安装此安全修补程序。
修补替换程序：无
注意：对本文档中“文件信息”部分列出的任何 ASP 页进行过自定义的客户应该先备份这些文件，然后再应用此修补程序，因为在应用该修补程序时这些文件会被改写。之后，需要给新 ASP 页重新应用所有的自定义。
经过测试的软件和修补程序下载位置：
　受影响的软件：
　　· Microsoft Exchange Server 5.5 - 下载修补程序
　不受影响的软件：
　　· Microsoft Exchange 2000 Server
　　· Microsoft Exchange Server 2003
上面列出的软件已经过测试，以确定上述版本是否会受到影响。其他版本已不再受支持，它们可能会也可能不会受到影响。

详细技术资料

技术说明：
导致跨站点脚本 (XSS) 安全漏洞的原因是 Outlook Web Access (OWA) 在“撰写新邮件”窗体中执行 HTML 编码的方式。
攻击者可能会通过让某位用户代替自己运行脚本来搜索此安全漏洞，进而加以利用。该脚本会在该用户的安全环境中执行。如果该脚本在该用户的安全环境中执行，那么，攻击者的代码就会通过使用 OWA Web 站点（或该 OWA Web 站点所在的同一台服务器上承载的某个 Web 站点）的安全设置来执行，并且可能会使攻击者能够访问属于该用户能够访问的站点的任何数据。
要通过 OWA 来利用此漏洞，攻击者必须向该用户发送带有特殊格式的链接的电子邮件。之后，该用户必须单击该链接。要以其他方式来利用此漏洞，攻击者必须知道该用户的 Exchange 服务器的名称，然后在该用户登录到 OWA 的情况下诱使该用户从其他来源打开一个特殊格式的链接。
注意：对本文档中“文件信息”部分列出的任何 ASP 页进行过自定义的客户应该先备份这些文件，然后再应用此修补程序，因为在应用该修补程序时这些文件会被改写。之后，需要给新 ASP 页重新应用所有的自定义。请参阅“Microsoft Support Policy for the Customization of Outlook Web Access”（Microsoft 对 Outlook Web Access 自定义的支持策略），网址是：http://support.microsoft.com/default.aspx?scid=kb;en-us;327178
减轻影响的因素：
要受到影响，用户必须登录到 OWA、被诱使登录到 OWA，或使用 OWA 所在的同一台服务器上的其他 Web 应用程序。通常，出于性能、可伸缩性以及安全方面的原因，运行 Exchange Server 5.5 Outlook Web Access 的服务器不会运行其他 Web 应用程序。
要通过 OWA 利用此漏洞，攻击者必须向用户发送带有特殊格式的链接的电子邮件。之后，该用户必须单击该链接。
在基于 Web 的攻击传播媒介中，攻击者必须知道用户的 Exchange 服务器的名称，然后在该用户登录到 OWA 的情况下诱使该用户从某些其他来源打开一个特殊格式的链接。
严重等级：
Exchange Server 5.5 Outlook Web Access 中等

以上评估是基于受此漏洞影响的系统类型、典型的部署模式以及漏洞对它们产生的影响作出的。
漏洞标识符： CAN-2003-0712

变通办法

常见问题解答

此安全漏洞的影响范围有多大？
这是一个跨站点脚本安全漏洞。此漏洞可能会使攻击者能够在其他用户的 Web 会话期间任意运行代码。该代码可以在用户的计算机上执行授权该 Web 站点执行的任何操作；这种情况可能包括：监视 Web 会话并向第三方转发信息、在用户的系统中运行其他代码，以及读/写 cookie。这些代码可以编写成永久性的，这样，如果用户再次返回到该 Web 站点，它们就会再次运行。
该安全漏洞无法被“注入”Web 会话，而是只能在用户单击攻击者提供的超链接后被利用。
要以其他方式利用此漏洞，而不是用电子邮件向用户发送特殊格式的链接，攻击者就必须知道用户的 Exchange 服务器的名称，然后在用户登录到 OWA 的情况下诱使该用户从某些其他来源打开一个特殊格式的链接。
什么是 Outlook Web Access？
Microsoft Outlook Web Access (OWA) 是 Exchange Server 的一项服务。通过使用 OWA，用户可以使用 Web 浏览器来访问他们的 Exchange 邮箱。通过使用 OWA，运行 Exchange Server 的服务器还能用作 Web 站点，让授权用户通过 Internet 读取或发送邮件、管理他们的日历或执行其他邮件功能。
什么是跨站点脚本？
跨站点脚本 (XSS) 是一个安全漏洞，它可能会使攻击者能够将代码“注入”用户与 Web 站点进行的会话。与大多数安全漏洞不同，XSS 并不针对任何单一供应商的产品，而是会影响所有生成 HTML 的软件以及不遵循防御性编程措施的软件。
XSS 的工作方式
Web 页包含文本和 HTML 标记，它们由服务器生成，由客户端解释。生成静态页面的服务器完全控制着客户端对服务器所发送页面进行解释的方式。但是，生成动态页面的服务器不控制客户端对服务器输出的信息进行解释的方式。如果可以在动态页面中引入不受信任的内容，服务器和客户端都不会有充足的信息来确认这种情况的发生以及采取保护措施。
有关跨站点脚本的工作方式以及减轻此类攻击影响的更多信息，请参阅Information about Cross-Site Scripting Security Vulnerability（有关跨站点脚本安全漏洞的信息）。
此安全漏洞因何而起？
导致该安全漏洞的原因是：Outlook Web Access 5.5 在撰写新邮件时使用的 Active Server Page (ASP) 以编码不正确的 HTML 格式重新显示所请求的 URL。
Outlook Web Access 有什么问题？
当用户新建一封电子邮件时，OWA 为了以 HTML 格式进行显示而对 URL 进行的编码不正确。结果，攻击者就可以嵌入一个链接，该链接指向另外某个 Web 站点上的脚本，并且可以让该链接返回到 Web 浏览器，而此时会让该浏览器将该链接视为来源于 OWA Web 站点。
攻击者能利用该安全漏洞做什么？
利用该安全漏洞，攻击者如果拥有恶意 Web 站点，或者可以诱使用户单击某个特殊格式的链接，就能够针对用户的 OWA Web 站点执行跨站点的脚本攻击。通过这样操作，攻击者可以在用户的浏览器中运行脚本，可以使用 OWA Web 站点或同一系统上承载的任何其他 Web 站点的安全设置，还可以访问 cookie 和其他属于该 Web 站点的数据。
攻击者可能如何利用此安全漏洞？
拥有恶意 Web 站点的攻击者可以搜索此安全漏洞，然后加以利用。其方法是：发送一封专门编写的电子邮件，其中带有一个嵌入的脚本或者链接，当用户访问该脚本或链接时，就会发出 Web 服务器查询，而该查询会带有一个脚本作为某个参数的组成部分。当电子邮件中的链接出现在 OWA 中或某个外部 Web 站点上时，该用户必须单击该链接。
是否 OWA 的所有版本都有此安全漏洞？
不是。该安全漏洞只影响 Exchange Server 5.5 Outlook Web Access。
应在哪些 Exchange 服务器上安装该修补程序？
此修补程序只是为运行 Exchange Server 5.5 Outlook Web Access 的服务器提供的。您不需要在没有运行 Exchange Server 5.5 Outlook Web Access 的服务器上安装此修补程序。
我对 OWA 站点进行过自定义，应该怎样做？
对本文档中“文件信息”部分列出的任何 ASP 页进行过自定义的客户应该先备份这些文件，然后再应用此修补程序，因为在应用该修补程序时这些文件会被改写。之后，需要给新 ASP 页重新应用所有的自定义。请参阅“Microsoft Support Policy for the Customization of Outlook Web Access”（Microsoft 对 Outlook Web Access 自定义的支持策略）
该修补程序消除安全漏洞的方法是：确保对 OWA 脚本参数进行编码，这样就无法再在意外情况下执行它们了。

安全修补程序信息

有关具体为您的平台提供的安全修补程序的信息，请单击相应的链接：
Exchange Server 5.5 SP4
先决条件
此安全修补程序要求在 Exchange Server 5.5 Service Pack 4 上使用 Outlook Web Access。
安装信息
有关可用于应用此更新的命令选项的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中的文章：
257946 XGEN: GUI Hotfix Utility Switches /x /m /s /z（XGEN：GUI 修复程序实用工具开关 /x /m /s /z）
例如，使用以下命令行可在没有用户干预的情况下安装更新，并且不强制计算机重新启动：
Exchange5.5-KB828489-x86-enu.EXE /s
部署信息
要在没有用户干预的情况下安装此安全修补程序，请使用以下命令行：
Exchange5.5-KB828489-x86-enu.EXE /s
有关如何使用“Microsoft 软件更新服务”来部署此安全修补程序的信息，请访问下面的 Microsoft Web 站点：
http://www.microsoft.com/windows2000/windowsupdate/sus/susoverview.asp
是否需要重新启动？
不需要。但是，此安全修补程序将会重新启动“Microsoft Internet 信息服务”(IIS)、“Exchange 存储”和“Exchange 系统助理服务”。因此，请在没有用户通过 OWA 登录的情况下安装此修补程序。
删除信息
要删除此更新，请使用“控制面板”中的“添加或删除程序”工具，或在控制台窗口中发出以下命令：
%EXCHSRVR%\828489\UNINSTALL\UNINST.EXE
文件信息
此修复程序的英文版具有下表中列出的文件属性（或更新的属性）。这些文件的日期和时间是以协调通用时间 (UTC) 列出的。在您查看文件信息时，这种时间会转换为当地时间。要了解 UTC 与当地时间的差异，请使用“控制面板”中“日期和时间”工具的“时区”选项卡。
日期时间版本大小 文件名 文件夹
09/16/2003 13:03 5.2657.67 802,576 cdo.dll %WIN%\system32

09/16/2003 11:50 5.2657.67 536,848 CDOHTML.DLL %EXSRVROOT%\bin

07/19/2003 12:45 6.5.6582.0 57,344 htmlsnif.dll %EXSRVROOT%\bin

07/19/2003 12:45 6.5.6582.0 225,280 safehtml.dll %EXSRVROOT%\bin

07/19/2003 01:02 NA 658,432 5,118 global.asa %EXSRVROOT%\WEBDATA

08/12/2003 12:15 NA 1,180 1,180 encode.inc %EXSRVROOT%\WEBDATA\%WEBDATALANG%

09/16/2003 11:49 NA 6,835 root.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%

09/16/2003 11:49 NA 2,473 read.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\ATTACH

09/16/2003 11:49 NA 2,424 events.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\CALENDAR

09/16/2003 11:49 NA 5,783 main_fr.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\CALENDAR

09/16/2003 11:49 NA 4,336 fumsg.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FINDUSER

09/16/2003 11:49 NA 12,928 amunres.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS

09/16/2003 11:49 NA 3,458 openitem.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS

09/16/2003 11:49 NA 3,174 pickform.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS

09/16/2003 11:49 NA 13,271 contdet.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\CONTACT

09/16/2003 11:50 NA 7,952 frmroot.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\CONTACT

09/16/2003 11:50 NA 5,388 postatt.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\CONTACT

09/16/2003 11:49 NA 11,230 postMsg.asp postMsg.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\CONTACT

09/16/2003 11:50 NA 5,189 postroot.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\CONTACT

09/16/2003 11:49 NA 7,896 posttitl.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\CONTACT

09/16/2003 11:49 NA 5,354 cmpatt.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\NOTE

09/16/2003 11:50 NA 7,390 cmpmsg.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\NOTE

09/16/2003 11:49 NA 3,133 cmpOpt.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\NOTE

09/16/2003 11:49 NA 7,091 cmpTitle.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\NOTE

09/16/2003 11:49 NA 8,501 frmroot.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\NOTE

09/16/2003 11:49 NA 5,306 postatt.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\POST

09/16/2003 11:49 NA 6,419 postMsg.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\POST

09/16/2003 11:49 NA 6,485 postroot.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\POST

09/16/2003 11:49 NA 5,238 posttitl.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\POST

09/16/2003 11:49 NA 8,892 frmroot.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\SCHEDULE\MEETING\CANCELED

09/16/2003 11:49 NA 30,942 frmRoot.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\SCHEDULE\MEETING\REQUEST

09/16/2003 11:49 NA 21,055 mrAppt.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\SCHEDULE\MEETING\REQUEST

09/16/2003 11:49 NA 5,785 mrAtt.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\SCHEDULE\MEETING\REQUEST

09/16/2003 11:49 NA 2,931 mrOpt.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\SCHEDULE\MEETING\REQUEST

09/16/2003 11:49 NA 12,675 mrPlaner.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\SCHEDULE\MEETING\REQUEST

09/16/2003 11:50 NA 26,555 mrRecur.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\SCHEDULE\MEETING\REQUEST

09/16/2003 11:49 NA 10,735 mrTitle.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\SCHEDULE\MEETING\REQUEST

09/16/2003 11:49 NA 11,544 frmroot.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\SCHEDULE\MEETING\RESP

09/16/2003 11:49 NA 5,323 rspatt.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\SCHEDULE\MEETING\RESP

09/16/2003 11:49 NA 8,753 rspmsg.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\SCHEDULE\MEETING\RESP

09/16/2003 11:49 NA 3,184 rspopt.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\SCHEDULE\MEETING\RESP

09/16/2003 11:49 NA 7,776 rsptitle.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\FORMS\IPM\SCHEDULE\MEETING\RESP

09/16/2003 11:49 NA 11,802 commands.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\INBOX

09/16/2003 11:49 NA 11,166 main_fr.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\INBOX

09/16/2003 11:49 NA 8,185 root.asp %EXSRVROOT%\WEBDATA\%WEBDATALANG%\MOVCPY
验证修补程序的安装
要验证您计算机中是否安装了此安全修补程序，请使用 Microsoft Baseline Security Analyzer (MBSA) 工具。有关 MBSA 的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中的文章：
320454 Microsoft Baseline Security Analyzer Version 1.1.1 Is Available（Microsoft Baseline Security Analyzer 1.1.1 版已可供使用）
通过查看以下注册表项，您也许还可以验证此安全修补程序安装的文件：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange Server 5.5\SP5\828489
注意：如果管理员或 OEM 在 Windows 安装源文件中集成或附带了 828489 安全修补程序，此注册表项的创建可能会不正确。

安全性资源：

Microsoft TechNet Security Web 站点提供了有关 Microsoft 产品安全性的更多信息。

免责声明：

Microsoft 知识库中的信息按“原样”提供，没有任何形式的保证。Microsoft 不作任何明示或默示的保证，包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害（包括直接的、间接的、偶然的、后果性的损害，商业利润损失，或特殊损害）承担任何责任，即使 Microsoft Corporation 或其供应商事先已被告知发生此类损害的可能性。有些州不允许排除或限制后果性的或偶然的损害赔偿责任，因此上述限制可能不适用。

修订版本：

V1.0（2003 年 10 月 15 日）：公告发布。