Lücken im Exchange Server

In den Bulletins MS03-046 [1] und MS03-47 [2] werden zwei neue Fehler im Exchange Mailserver beschrieben. Der eine betrifft das VERB Kommando unter SMTP, mit dem der Server zum Absturz gebracht oder sogar beliebiger Code ausgeführt werden kann. Administratoren sollten deshalb den Patch KB 829436 einspielen. Ausserdem sollte Port 25 für Zugriffe von Aussen gesperrt werden.

Im Outlook Web Access von Exchange 5.5 steckt ein Fehler, der Cross-Site-Scripting-Angriffe ermöglicht. KB 828489 stopft das Loch.