English

◀◁ 뒤로 취약점ID 26068 위험도 30 포트 139,445 프로토콜 TCP 분류 SMB 상세설명 해당 시스템에는 'Exchange Server 5.5 Outlook Web Access 상의 Cross-Site Scripting 취약점'에 대한 Hotfix(KB828489)가 설치되어 있지 않다. Microsoft Outlook Web Access (OWA)는 사용자의 Exchange 메일박스를 액세스하는 데에 사용되는 Exchange 서버의 하나의 서비스이다. 또한 이 OWA를 이용하여 인가된 사용자들이 인터넷을 통해 메일 기능들을 메일 기능들을 수행할 수 있게 해 주는 웹 사이트로써의 역할을 할 수 있다. 어쨌든 Microsoft Exchange Server 5.5 OWA(Outlook Web Access)는 Cross-site scripting (XSS) 취약점을 가지고 있는데, 이 취약점은 새로운 메시지를 구성할 때 사용하는 Exchange Server 5.5 OWA가 올바르게 인코딩하지 않은 채 HTML로 요청된 URL을 Active Server Page (ASP)로 재현함에 있다. 공격자들은 이 OWA 취약점을 도용하기 위해, 잘 조작된 악의적인 링크를 가진 E-Mail을 사용자에게 전달한 후, 사용자가 링크를 클릭하도록 유도한다. 링크가 클릭되면, 서버 상에서 사용자의 권한으로 공격자의 스크립트가 실행될 수 있으며, 이 경우, 사용자가 액세스할 수 있는 사이트 상의 모든 데이터를 액세스하는 것도 가능하다. * 알림: 이 점검항목은 점검하기 위한 원격지 호스트의 레지스트리를 액세스할 수 있는 Guest 혹은 그 이상의 권한을 가진 계정을 필요로 한다. 이러한 조건이 안되면 점검을 수행할 수 없으며 모든 취약한 호스트들에 대해서 거짓 음성반응(False Negative)을 보일 수 있다. * 참고 사이트: http://www.microsoft.com/technet/security/bulletin/MS03-047.asp * 영향을 받는 플랫폼: Microsoft Exchange Server 5.5, 서비스팩 4 Windows 2000 Any version Windows NT Any version Windows XP Any version 해결책 다음 마이크로소프트의 보안 게시판 MS03-047를 참조하여 이 취약점에 대한 적절한 패치를 적용하여야 한다: http://technet.microsoft.com/en-us/security/bulletin/ms03-047 1. 다음의 페이지를 연다: http://www.microsoft.com/downloads/details.aspx?FamilyId=C516FE75-95CE-4FFF-B83D-9B170FCD0C1C&displaylang=en 2. 언어 선택 목록에서 해당 언어를 선택한 후 <Go> 버튼을 클릭한다. 3. 패치 파일을 다운받기 위해 <Download> 버튼을 클릭한다. 4. 패치를 설치하기 위해 파일을 실행시킨다. -- 또는 -- 윈도우즈 플랫폼들을 위한 패치들은 또한 Microsoft Windows Update 웹 사이트인 http://windowsupdate.microsoft.com 에서도 구할 수 있다. Windows Update는 사용 중인 윈도우즈의 버전을 자동으로 찾아내고 적절한 패치를 제공해 준다. 관련 URL CVE-2003-0712 (CVE) 관련 URL 8832 (SecurityFocus) 관련 URL 13433 (ISS)