Xakep #305. Многошаговые SQL-инъекции
Почтовые серверы Microsoft Exchange могут использоваться для рассылки спама без ведома их администраторов. К такому выводу пришли в компании Think Computer после анализа жалобы одного из клиентов. При этом, по стандартам Microsoft, такие серверы являются безопасными. Не проходят они и тесты для открытых почтовых шлюзов. Это, однако, не меняет ситуации - во многих случаях спам распространяется через серверы на базе Exchange.
По мнению Think Computer, в почтовых серверах Exchange версий 5.5 и 2000 имеется серьезная уязвимость. Она связана с тем, что сервер позволяет использовать гостевую учетную запись для пересылки почты и, более того, автоматически задействует ее, если аутентификация пользователя по каким-то причинам не прошла. При этом становится возможной пересылка почты в обход установленных администратором ограничений.
В Think Computer отмечают, что в Microsoft знают о проблеме. Ее краткое описание имеется в базе данных Microsoft. Для ликвидации уязвимости достаточно отключить гостевую учетную запись. Однако по мнению Think Computer, число серверов Exchange, использующихся спамерами, очень велико, и Microsoft не мешает более серьезно отнестись к проблеме. Впрочем, в Exchange Server 2003 дыра была устранена.