Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 65 replies
  • Subscribers 0 subscribers
  • Views 49507 views
  • Users 0 members are here
Options
Suggested

[9.191][BUG] OWA login via WAF fails with "Unknown username and or password"

Nikolai Wolf
ActiveSync is working, because I can connect to a Exchange mailbox, but whenever I want to connect through the webappplication (Owa), It fails. 

Example:
I try connect to Peter@example.com with ActiveSync, it works.
I try to connect to Peter@example.com with owa (Owa appears after I entered the credentials for the form authentication), it fails.

It used to work, but suddenly it stopped working.
Parents
  • 0
    There were several upgrades since it stopped working, but the issue occurred recently, so I think it was version 9.185003 or 9.186001. Now im at version 9.191002, but I think it has something to do with the reverse proxy, since it worked fine without the waf in the beginning.

    Here are some errors I get:

    2014:01:06-09:59:20 UTM reverseproxy: [Mon Jan 06 09:59:20.252489 2014] [security2:error] [pid 6577:tid 3988761456] [client 192.168.150.71] ModSecurity: Warning. Operator LT matched 5 at TX:inbound_anomaly_score. [file "/usr/apache/conf/waf/modsecurity_crs_correlation.conf"] [line "33"] [id "981203"] [msg "Inbound Anomaly Score (Total Inbound Score: 2, SQLi=, XSS=): Request Missing an Accept Header"] [hostname "webmail.example.com"] [uri "/owa/14.1.218.13/themes/resources/lgnleft.gif"] [unique_id "UspwaMCosg8AABmxlP4AAABR"]

    2013:12:30-11:50:30 UTM reverseproxy: [Mon Dec 30 11:50:30.847544 2013] [form_hardening:error] [pid 7616:tid 4080360304] [client 192.168.150.71:***] Form validation failed: Token missing, referer: webmail.example.com/.../&reason=2 

    2013:12:30-11:48:20 UTM reverseproxy: [Mon Dec 30 11:48:20.031035 2013] [security2:error] [pid 7616:tid 3929291632] [client 192.168.150.71] ModSecurity: Warning. Pattern match "(.*)" at TX:960015-OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER-REQUEST_HEADERS. [file "/usr/apache/conf/waf/modsecurity_crs_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 7, SQLi=, XSS=): Last Matched Message: Request Missing an Accept Header"] [data "Last Matched Data: 0"] [hostname "webmail.chroom.com"] [uri "/Microsoft-Server-ActiveSync"] [unique_id "UsFPdMCosg8AAB3AGxMAAACY"]
Reply
  • 0
    There were several upgrades since it stopped working, but the issue occurred recently, so I think it was version 9.185003 or 9.186001. Now im at version 9.191002, but I think it has something to do with the reverse proxy, since it worked fine without the waf in the beginning.

    Here are some errors I get:

    2014:01:06-09:59:20 UTM reverseproxy: [Mon Jan 06 09:59:20.252489 2014] [security2:error] [pid 6577:tid 3988761456] [client 192.168.150.71] ModSecurity: Warning. Operator LT matched 5 at TX:inbound_anomaly_score. [file "/usr/apache/conf/waf/modsecurity_crs_correlation.conf"] [line "33"] [id "981203"] [msg "Inbound Anomaly Score (Total Inbound Score: 2, SQLi=, XSS=): Request Missing an Accept Header"] [hostname "webmail.example.com"] [uri "/owa/14.1.218.13/themes/resources/lgnleft.gif"] [unique_id "UspwaMCosg8AABmxlP4AAABR"]

    2013:12:30-11:50:30 UTM reverseproxy: [Mon Dec 30 11:50:30.847544 2013] [form_hardening:error] [pid 7616:tid 4080360304] [client 192.168.150.71:***] Form validation failed: Token missing, referer: webmail.example.com/.../&reason=2 

    2013:12:30-11:48:20 UTM reverseproxy: [Mon Dec 30 11:48:20.031035 2013] [security2:error] [pid 7616:tid 3929291632] [client 192.168.150.71] ModSecurity: Warning. Pattern match "(.*)" at TX:960015-OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER-REQUEST_HEADERS. [file "/usr/apache/conf/waf/modsecurity_crs_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 7, SQLi=, XSS=): Last Matched Message: Request Missing an Accept Header"] [data "Last Matched Data: 0"] [hostname "webmail.chroom.com"] [uri "/Microsoft-Server-ActiveSync"] [unique_id "UsFPdMCosg8AAB3AGxMAAACY"]
Children
No Data
Unfiltered HTML