XWEB: Direcci�n URL con formato incorrecto puede producir error de servicio en IIS 5.0 y Exchange 2000 Server

Exchange 2000 se ve afectado por la misma vulnerabilidad que la vulnerabilidad de Microsoft Internet Information Services (IIS) 5.0 descrita en el siguiente art�culo en Microsoft Knowledge Base: Para admitir a clientes de correo basada en Web, Exchange 2000 introduce la capacidad de los elementos de direcci�n en el almac�n a trav�s de direcciones URL. Esto se realiza en parte utilizando IIS 5.0 y en parte a trav�s de c�digo espec�fico de Exchange 2000. Ambos fragmentos de c�digo contienen el error, pero el efecto de aprovechar la vulnerabilidad a trav�s de cualquiera ser�a el mismo--podr�a utilizarse para hacer que el servicio IIS fallara, pero no podr�a utilizarse para atacar el propio servicio de Exchange. Es decir, correctamente atacar un servidor de Exchange a trav�s de esta vulnerabilidad podr�a interrumpir el uso de los clientes de correo basado en Web del servidor, pero no que de clientes de correo basado en MAPI, como Microsoft Outlook.

Factores atenuantes :

• La vulnerabilidad no permitir�a al atacante para tener cualquier control administrativo sobre el servidor o para modificar los datos.
• Los servicios afectados se reiniciar�n autom�ticamente en el caso de un error; por lo tanto, un sistema afectado podr�a Reanudar servicio casi inmediatamente.
• Un ataque contra un servidor de Exchange s�lo podr�a interrumpir el uso de los clientes de correo basado en Web del servidor de. El servidor seguir�a est� disponible para los clientes basados en MAPI como Outlook.
• La ISAPI de esta vulnerabilidad autentica al usuario antes de atender la solicitud; por lo tanto, en la que un servidor de Exchange correctamente configurado ser�a menos riesgos que un servidor IIS.

importante : como el error se produce en dos m�dulos de c�digo diferentes, uno de los cuales se instala como parte de IIS 5.0 y los que se instalan como parte de Exchange 2000, es importante que los administradores de Exchange 2000 instalar revisiones de la Exchange e IIS siguientes.

Los archivos siguientes est�n disponibles para descargarlos del Centro de descarga de Microsoft:
Para obtener informaci�n adicional acerca de c�mo descargar los archivos de soporte t�cnico de Microsoft, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base: Microsoft explor� este archivo en busca de virus. con el software de detecci�n de virus m�s reciente disponible en la fecha de publicaci�n. Asimismo, el archivo se almacen� en servidores seguros que ayudan a impedir la realizaci�n de cambios no autorizados.

La versi�n en ingl�s de esta revisi�n debe tener los atributos de archivo siguientes o posteriores:

Componente: HTTP-DAV

Microsoft ha confirmado que este es un problema de Microsoft Exchange 2000 Server. Este problema se corrigi� por primera vez en Microsoft Exchange 2000 Server Service Pack 1.

Para obtener m�s informaci�n acerca de este problema, consulte el siguiente sitio Web de Microsoft: