Norton AntiVirus for Exchange 2000 存在信息泄露问题

发布时间：2001-09-10
更新时间：2001-09-10
严重程度：中
威胁程度：服务器信息泄露
错误类型：设计错误
利用方式：服务器模式

受影响系统

Symantec Norton AntiVirus for MS Exchange 2.5
   + Microsoft Exchange Server 2000 SP1
      - Microsoft Windows 2000 SP2
         + Microsoft Windows 2000
      - Microsoft Windows 2000 SP1
         + Microsoft Windows 2000
      - Microsoft Windows 2000
   + Microsoft Exchange Server 2000
      - Microsoft Windows 2000 SP2
         + Microsoft Windows 2000
      - Microsoft Windows 2000 SP1
         + Microsoft Windows 2000
      - Microsoft Windows 2000

详细描述
在MICROSOFT EXCHANGE 2000中如果运行着Norton反病毒软件，运行如此组合的
主机可以被欺骗导致泄露EMAIL目录路径给攻击者。

信息附件发送给有此漏洞的主机会被Norton反病毒软件扫描内容，如果邮件被拒绝
有带通知为何信息被拒绝的信息会返回给发送者，这样，回复者的INBOX路径信息
就存储在信息头而发送到用户那里。

测试代码
见描述部分。

解决方案
关闭对拒绝信息进行返回通知功能。

相关信息

最近严重漏洞

Norton AntiVirus for Exchange 2000 存在信息泄露问题