Alert GCSA-09010 - Vulnerabilita' in Microsoft Exchange Server
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
************************************************************************
Alert ID : GCSA-09010
Data : 11 Febbraio 2009
Titolo : Vulnerabilita' in Microsoft Exchange Server (MS09-003)
************************************************************************
:: Descrizione del problema
Sono state identificate due vulnerabilita' in Microsoft Exchange Server,
che potrebbero essere sfruttate da un attaccante remoto per provocare un DoS
o per compromettere un sistema che ne sia affetto.
La prima vulnerabilita' e' dovuta ad un errore di corruzione della memoria
durante la decodifica di dati TNEF (Transport Neutral Encapsulation Format)
per un messaggio, e potrebbe permettere l'esecuzione di codice arbitrario
inviando un messaggio malevolo attraverso un server vulnerabile.
La seconda vulnerabilita' e' dovuta ad un errore nel provider EMSMDB2
(Electronic Messaging System Microsoft Data Base, 32 bit build) durante
la gestione di comandi MAPI invalidi, e potrebbe essere sfruttata per
provocare un DoS inviando comandi MAPI appositamente predisposti ad
un'applicazione vulnerabile.
:: Piattaforme e software interessati
Microsoft Exchange Server 2000 SP3 (Update Rollup / August 2004)
Microsoft Exchange Server 2003 SP2
Microsoft Exchange Server 2007 SP1
:: Impatto
- - Denial of Service
- - Esecuzione di codice arbitrario
:: Soluzioni
Applicare gli aggiornamenti rilasciati da Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms09-003.mspx
:: Riferimenti
Microsoft
http://www.microsoft.com/technet/security/bulletin/ms09-003.mspx
Secunia
http://secunia.com/advisories/33838/
VuPen
http://www.vupen.com/english/advisories/2009/0390
CVE Mitre
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0098
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0099
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSZK0XfOB+SpikaiRAQIFTwP/VFvVrVT6CFvJnp3Xi9J6A7+lqc9GiYie
7J5LABLUFV97PkqEOcSK7DJ9yl5WWzp91kXhz394Foibt7cE223u4wXyPDrDD8s9
ubaXTQJFiVvh4euwxmhPrwBssX1k/kDK4woTc4CexQ1lsvaJoBz4kssat45m8D4E
14UmGRgkhoI=
=Kdpg
-----END PGP SIGNATURE-----
Hash: SHA1
************************************************************************
Alert ID : GCSA-09010
Data : 11 Febbraio 2009
Titolo : Vulnerabilita' in Microsoft Exchange Server (MS09-003)
************************************************************************
:: Descrizione del problema
Sono state identificate due vulnerabilita' in Microsoft Exchange Server,
che potrebbero essere sfruttate da un attaccante remoto per provocare un DoS
o per compromettere un sistema che ne sia affetto.
La prima vulnerabilita' e' dovuta ad un errore di corruzione della memoria
durante la decodifica di dati TNEF (Transport Neutral Encapsulation Format)
per un messaggio, e potrebbe permettere l'esecuzione di codice arbitrario
inviando un messaggio malevolo attraverso un server vulnerabile.
La seconda vulnerabilita' e' dovuta ad un errore nel provider EMSMDB2
(Electronic Messaging System Microsoft Data Base, 32 bit build) durante
la gestione di comandi MAPI invalidi, e potrebbe essere sfruttata per
provocare un DoS inviando comandi MAPI appositamente predisposti ad
un'applicazione vulnerabile.
:: Piattaforme e software interessati
Microsoft Exchange Server 2000 SP3 (Update Rollup / August 2004)
Microsoft Exchange Server 2003 SP2
Microsoft Exchange Server 2007 SP1
:: Impatto
- - Denial of Service
- - Esecuzione di codice arbitrario
:: Soluzioni
Applicare gli aggiornamenti rilasciati da Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms09-003.mspx
:: Riferimenti
Microsoft
http://www.microsoft.com/technet/security/bulletin/ms09-003.mspx
Secunia
http://secunia.com/advisories/33838/
VuPen
http://www.vupen.com/english/advisories/2009/0390
CVE Mitre
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0098
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0099
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSZK0XfOB+SpikaiRAQIFTwP/VFvVrVT6CFvJnp3Xi9J6A7+lqc9GiYie
7J5LABLUFV97PkqEOcSK7DJ9yl5WWzp91kXhz394Foibt7cE223u4wXyPDrDD8s9
ubaXTQJFiVvh4euwxmhPrwBssX1k/kDK4woTc4CexQ1lsvaJoBz4kssat45m8D4E
14UmGRgkhoI=
=Kdpg
-----END PGP SIGNATURE-----