[公告]Microsoft 安全公告 MS04-026

Microsoft 安全公告 MS04-026
Exchange Server 5.5 Outlook Web Access 中的漏洞可能允许跨站点脚本和欺骗攻击 (842463)
发布日期：2004 年 8 月 10 日
版本： 1.0
摘要
本文的目标读者：运行 Microsoft® Exchange Server 5.5 Outlook® Web Access 的服务器的系统管理员
安全漏洞的影响：远程执行代码
最高严重等级：中等
建议：用户应该考虑应用安全更新。
安全更新替代：此更新替代 Microsoft 安全公告 MS03-047 中提供的安全更新。
注意事项：如果用户自定义了本文“文件信息”部分中列出的任何 Active Server Pages (ASP) 页，则在应用此更新之前应该备份这些文件，因为在应用更新时将覆盖这些 ASP。然后，需要为新的 ASP 页重新应用所有的自定义。
此更新的相关组件的版本要求：
为成功地进行安装，此更新要求 Microsoft Outlook Web Access 服务器安装以下组件：Internet Explorer 5.01 Service Pack 3 (SP3)（在使用 Windows 2000 SP3 时）、Internet Explorer 5.01 SP4（在使用 Windows 2000 SP4 时）或 Internet Explorer 6 SP1（在使用其他受支持的操作系统时）。
Outlook Web Access 服务器上相关组件的版本建议：
在撰写本文时，我们建议 Outlook Web Access 服务器上的相关组件使用以下版本：
• Microsoft Internet 信息服务 (IIS)：
• 安装在 Windows NT 4.0 SP6 上的 IIS 4.0

• 安装在 Windows 2000 SP3 或更高版本上的 IIS 5.0


• Microsoft Internet Explorer：
• Internet Explorer 6.0


测试过的软件和安全更新下载位置：
受影响的软件：
• Microsoft Exchange Server 5.5 SP4

不受影响的软件：
• Microsoft Exchange 2000 Server

• Microsoft Exchange Server 2003

受影响的组件：
• Outlook Web Access — 下载此更新 [英文]

已对此列表中的软件进行了测试，以确定这些版本是否会受到影响。其他版本或者不再包括安全更新支持，或者可能不会受到影响。要确定产品和版本的技术支持生命周期，请访问 Microsoft 产品技术支持生命周期 Web 站点。对 Outlook Web Access for Exchange Server 5.0 的支持已经停止。
详细信息：http://www.microsoft.com/china/technet/security/bulletin/MS04-026.mspx