Vorsicht, Lücke: Microsofts Web Access lässt Postfach-Türen weit offen

Microsofts Exchange 2003 steht auf der Bugtraq-Mailingliste.

Microsofts Exchange 2003 steht auf der Bugtraq-Mailingliste. Den Angaben auf der Warnliste zufolge gibt es eine Sicherheitslücke in dem Exchange Server 2003. Demnach sollen Outlook-Benutzer via Web Access nicht nur auf ihr eigenes Postfach sondern auch auf fremde Mail-Accounts Zugriff haben. Das Feature Outlook Web Access wurde ermöglicht Nutzern des vor einem Monat eingeführten Exchange Server 2003, mittels Webbrowser auf ihre Exchange-Mail zuzugreifen.
Die Redmonder gehen davon aus, dass der Fehler nur dann vorkomme, wenn die Kerberos-Authentifizierung deaktiviert ist. Das allerdings bestreiten Administratoren, die den Fehler entdeckt haben. Läge das Problem tatsächlich nicht an der Kerberos-Authentifizierung, muss es sich wohl um einen Programmfehler seitens Microsoft handeln.

Nach einem Microsoft-Sprecher handele es sich weltweit nur um wenige Einzelfälle. Derzeit gibt es zwar noch keine offiziellen Informationen auf Microsofts Homepage, sollte sich jedoch ein Programmfehler bestätigen, will das Unternehmen so schnell wie möglich einen Patch herausgeben. Aus Sicherheitsgründen sollte man bis zur Klärung des Problems Outlook Web Access im Exchange Server 2003 deaktivieren.