受影响系统:
  Microsoft Exchange 2000 Server Outlook Web Access
  描述:
  CVE CAN ID : CAN-2001-0666
  Exchange 2000 Outlook Web Access中存在一个安全漏洞,能直接接收并处理一个已
  通过认证的用户信箱中的请求而没有先检查目录结构是否存在。***者可以通过重复
  地请求一个深层嵌套在其信箱中但并不存在的目录来实现拒绝服务***。
  OWA在处理用户访问某一特定邮件目录时没有先检查该目录是否存在。在提交一个有
  极其复杂的目录结构 - 例如,一个目录树下有上万层目录 - 的请求时,服务器可能
  要花上大量的时间来处理这一请求。
  利用这一漏洞发动的***不一定会影响OWA服务器本身。***会的作用是令为***者信
  箱服务的进程消耗其服务器上大部分甚至全部的CPU资源。在许多情况下,这一进程都
  在OWA服务器上运行,因此效果也会在那里出现。不过,如果这个为***者信箱提供服
  务的进程是在一个后台服务器上运行,那么***效果也会出现在那里。任何情况下,
  受影响的服务器都能够在成功地处理了这一请求后恢复正常服务。
  <*来源:Joao Gouveia ( tharbad@kaotik.org)
  *>
  建议:
  厂商补丁:
  微软已经为此发布了一个安全公告(MS01-049)以及相应补丁程序:
  补丁下载:
  微软Exchange 2000:
原文出自【比特网】,转载请保留原文链接: http://sec.chinabyte.com/353/11304853.shtml