heise PlusAbo
Anzeige

Exchange-Fehler: SharePoint ist schuld

Microsoft hat in einem Support-Dokument Stellung zum Sicherheitsproblem in Exchange 2003 bezogen: Es tritt bei Standard-Installationen auf, wenn SharePoint Services 2.0 installiert ist.

vorlesen Druckansicht 75 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Patrick Brauch

Microsoft hat in einem Support-Dokument Stellung zum bereits bekannt gewordenen Sicherheitsproblem in Exchange 2003 bezogen: Es tritt bei Standard-Installationen auf, wenn SharePoint Services 2.0 installiert ist. SharePoint ist eine Dokumentenverwaltung von Microsoft, die es Nutzern in einem Netzwerk ermöglicht, gemeinsam Websites und Dokumente einzusehen und zu bearbeiten.

Matthew Johnson hatte den Fehler vergangene Woche veröffentlicht. Ihm fiel auf, dass man sich über den Outlook Web Access in Exchange 2003 in fremde Mail-Accounts einloggen kann. Microsoft ging zunächst davon aus, dies treffe nur zu, wenn die Kerberos-Authentifizierung deaktiviert ist, was standardmäßig nicht der Fall ist. Johnson widersprach dem, da er den Fehler ohne Veränderung an der Default-Konfiguration reproduzieren konnte.

Nun hat Microsoft den Grund für dieses Verhalten ermittelt: Das Problem tritt auf, wenn sowohl Exchange 2003 als auch SharePoint 2.0 auf einem Windows Server 2003 installiert sind. SharePoint deaktiviert die Kerberos-Authentifizierung, was infolgedessen Exchange für die Sicherheitslücke anfällig macht. Ob SharePoint installiert ist, können Anwender und Administratoren in der Registry nachsehen. Der entsprechende Schlüssel heißt:

HKLM\Software\Microsoft\Shared Tools\Web Server Extensions\6.0\Sharepoint=

Ein "installed" bedeutet, dass SharePoint installiert und damit die Kerberos-Authentifizierung fĂĽr Exchange 2003 deaktiviert ist. Microsoft betont, dass das Deinstallieren von SharePoint alleine nicht ausreicht, um das Problem zu beseitigen: Die Kerberos-Authentifizierung bleibt auch danach noch abgeschaltet und muss manuell wieder aktiviert werden. Eine genaue Anleitung dazu bietet Microsoft im Support-Dokument. Da es bislang keinen Patch gegen den Fehler gibt, sollten Anwender und Administratoren diesen von Microsoft angebotenen Workaround benutzen, um ihre Systeme sicher zu machen.

Siehe dazu auch: (pab)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten