MS05-029:Outlook Web Access跨站点脚本执行漏洞

本文的目标读者： 具有运行 Outlook Web Access for Microsoft Exchange Server 5.5 的服务器的系统管理员

漏洞的影响： 远程执行代码

最高严重等级： 重要

建议： 客户应尽早应用该更新。

安全更新替代： 无

注意事项： 无

此更新的相关组件的版本要求：
为成功地安装此更新，Microsoft Outlook Web Access 服务器必须安装下列其中一项：

•	使用 Windows 2000 Service Pack 3 时安装 Internet Explorer 5.01 Service Pack 3
•	使用 Windows 2000 Service Pack 4 时安装 Internet Explorer 5.01 Service Pack 4
•	使用其他受支持的操作系统时安装 Internet Explorer 6 Service Pack 1

Outlook Web Access 服务器上相关组件的版本建议：
建议在 Outlook Web Access 服务器上使用相关组件的下列版本。

•

Microsoft Internet 信息服务 (IIS)：

•	Windows 2000 Service Pack 3 或更高版本上的 IIS 5.0

•

Microsoft Internet Explorer：

•	Internet Explorer 6.0 Service Pack 1

测试过的软件和安全更新下载位置：

受影响的软件：

•	Microsoft Exchange Server 5.5 Service Pack 4 - 下载此更新

不受影响的软件：

•	2004 年 8 月的 Microsoft Exchange 2000 Server Service Pack 3 及 Exchange 2000 Post-Service Pack 3 更新汇总
•	Microsoft Exchange Server 2003
•	Microsoft Exchange Server 2003 Service Pack 1

有关 Exchange 2000 Server Post-Service Pack 3 更新汇总的详细信息，请参阅 Microsoft 知识库文章 870540。

已对此列表中的软件进行了测试，以确定是否这些版本会受到影响。其他版本或者不再包括安全更新支持，或者可能不会受到影响。要确定产品和版本的技术支持生命周期，请访问 Microsoft 产品技术支持生命周期网站。

微软的安全公告:

摘要：

此更新可消除一个秘密报告的新发现漏洞。 Outlook Web Access for Exchange Server 5.5 中存在一个跨站点脚本和欺骗漏洞，此漏洞可能允许攻击者诱使用户运行恶意脚本。本公告的“漏洞详细资料”部分中对此漏洞进行了说明。

成功利用此漏洞的攻击者可能会进行跨站点脚本攻击。

我们建议客户应尽早应用此更新。

严重等级和漏洞标识：

漏洞标识漏洞的影响 Exchange Server 5.5

Exchange Server Outlook Web Access 漏洞 - CAN-2005-0563

远程执行代码

重要