Exchange Server от Microsoft критически уязвим

Корпорация Microsoft опубликовала бюллетень MS03-46, посвященный обнаружению серьезной уязвимости в системе безопасности почтового сервера Exchange Server, опасность которой классифицируется по шкале угроз компании как "критическая" (Critical).

Уязвимость Exchange Server может привести к запуску произвольного кода

Уязвимости подвержены компьютеры, на которых запущены Microsoft Exchange Server 5.5, Service Pack 4 или Microsoft Exchange 2000 Server, Service Pack 3.

Уязвимость существует в сервисе Internet Mail почтового сервера Exchange Server 5.5 и Exchange 2000 Server и может позволить нападающему установить соединение с портом SMTP этого сервера и отправить специальным образом расширенный вербальный запрос, который приведет к выделению под него большого объема памяти. Это может привести к падению сервиса Internet Mail или к отказу пакета в работе по причине недостаточной памяти.

Кроме того, в Exchange 2000 Server уязвимость позволяет атакующему, при условии создания тщательно подобранной последовательности данных, вызвать переполнение буфера, который может привести к возможности запуска вредоносных программ в контексте зоны безопасности сервиса SMTP.

Для предотвращения возможности проведения атаки можно воспользоваться специальными программами, фильтрующим SMTP трафик перед отправкой его на Exchange Server.

Соответствующие патчи для Microsoft Exchange Server 5.5, Service Pack 4 и Microsoft Exchange 2000 Server, Service Pack 3 опубликованы в рамках вышеописанного бюллетеня.