Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-37

[MS/IIS5.0] Patch für IIS 5.0 erzeugt neue Sicherheitslücke
(2000-11-28 11:35:12+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2000/11/msg00364.html

Falls der Micosoft Patch Q277873 in den Internet Information Services 5.0 installiert ist, läßt der Server die Ausführung beliebiger Kommandos durch die Formulierung entsprechender URLs zu.

Betroffene Systeme
IIS 5.0 mit Patch Q277873, wobei der Patch das Problem darstellt

Beschreibung
Microsoft hatte am 2000-11-06 mit dem Microsoft Security Bulletin (MS00-086) den Patch Q277873 zur Behebung einer Sicherheitslücke in den IIS5.0 herausgegeben. Die Lücke, die dieser Patch behebt, läßt durch einen Fehler in der Implementierung des IIS-Features, "valid requests for an executable file" zu akzeptieren und an das Betriebssystem zur Bearbeitung zu übergeben, die Ausführung beliebiger Kommandos mit entsprechend formulierten URLs auf dem Serverhost zu.

Im Georgi Guninski security advisory #30, 2000 beschreibt nun der Autor, daß dieser Patch eine weitere Sicherheitslücke öffnet, die die Ausführung beliebiger Kommandos durch die Formulierung eines entsprechenden URL auf dem Serverhost zuläßt.

Gefahrenpotential
hoch

Gegenmaßnahmen
Deinstallation des Patches Q277873. Beachten Sie bitte, daß IIS damit aber wieder die bereits am 2000-11-06 beschriebene Sicherheitslücke besitzt. Georgi Guninski geht davon aus, daß diese Sicherheitslücke weniger gravierend ist, als die neue, durch den Patch erzeugte.
Alternativ sollte bei sensitiven Diensten die Abschaltung der IIS5.0 erwogen werden, da der Server im Augenblick nicht sicher betrieben werden kann.

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=37