发布日期：2004 年 8 月 10 日
版本： 1.0

摘要
本文的目标读者：运行 Microsoft? Exchange Server 5.5 Outlook? Web Access 的服务器的系统管理员

安全漏洞的影响：远程执行代码

最高严重等级：中等

建议：用户应该考虑应用安全更新。

安全更新替代：此更新替代 Microsoft 安全公告 MS03-047 中提供的安全更新。

注意事项：如果用户自定义了本文“文件信息”部分中列出的任何 Active Server Pages (ASP) 页，则在应用此更新之前应该备份这些文件，因为在应用更新时将覆盖这些 ASP。然后，需要为新的 ASP 页重新应用所有的自定义。

此更新的相关组件的版本要求：
为成功地进行安装，此更新要求 Microsoft Outlook Web Access 服务器安装以下组件：Internet Explorer 5.01 Service Pack 3 (SP3)（在使用 Windows 2000 SP3 时）、Internet Explorer 5.01 SP4（在使用 Windows 2000 SP4 时）或 Internet Explorer 6 SP1（在使用其他受支持的操作系统时）。

Outlook Web Access 服务器上相关组件的版本建议：
在撰写本文时，我们建议 Outlook Web Access 服务器上的相关组件使用以下版本：

? Microsoft Internet 信息服务 (IIS)：

? 安装在 Windows NT 4.0 SP6 上的 IIS 4.0

? 安装在 Windows 2000 SP3 或更高版本上的 IIS 5.0


? Microsoft Internet Explorer：

? Internet Explorer 6.0

测试过的软件和安全更新下载位置：

受影响的软件：

? Microsoft Exchange Server 5.5 SP4

不受影响的软件：

? Microsoft Exchange 2000 Server

? Microsoft Exchange Server 2003

受影响的组件：

? Outlook Web Access — 下载此更新 [英文]

已对此列表中的软件进行了测试，以确定这些版本是否会受到影响。其他版本或者不再包括安全更新支持，或者可能不会受到影响。要确定产品和版本的技术支持生命周期，请访问 Microsoft 产品技术支持生命周期 Web 站点。对 Outlook Web Access for Exchange Server 5.0 的支持已经停止。

微软的安全公告:
http://www.microsoft.com/china/technet/security/bulletin/MS04-026.mspx

（以上链接均连到第三方网站）

摘要：

此更新可消除一个秘密报告的新发现漏洞。Outlook Web Access for Exchange Server 5.5 中存在一个跨站点脚本和欺骗漏洞，此漏洞可能允许攻击者诱使用户运行恶意脚本。本公告的“漏洞详细资料”部分中对此漏洞进行了说明。

成功利用此漏洞的攻击者可能会更改 Web 浏览器缓存和中间代理服务器缓存，并将欺骗内容放在这些缓存中。他们还可能会利用此漏洞来进行跨站点脚本攻击。

我们建议用户考虑应用安全更新。

注意：如果用户自定义了本文“文件信息”部分中列出的任何 ASP 页，则在应用此更新之前应该备份这些文件，因为在应用更新时将覆盖这些 ASP。然后，需要为新的 ASP 页重新应用所有的自定义。有关 Microsoft 在 Outlook Web Access 自定义方面的支持策略，请参阅 Microsoft 知识库文章 327178。

严重等级和漏洞标识：

漏洞标识 安全漏洞的影响 Exchange Server 5.5
跨站点脚本和欺骗漏洞 — CAN-2004-0203
远程执行代码
中等

修订版本：

? V1.0（2004 年 8 月 10 日）：已发布公告