[MS/MMS] Schwachstelle bei der Authentifizierung am Microsoft Metadirectory Service
(2002-07-25 16:34:17.452792+00) Druckversion
Quelle: http://cert.uni-stuttgart.de/archive/ms/2002/07/msg00004.html
Der Microsoft Metadirectory Services (MMS) 2.2 weist eine Schwachstelle bei der Authentifizierung von LDAP-Klienten auf.
Betroffene Systeme
- Microsoft Metadirectory Services (MMS) 2.2
Einfallstor
Verbindung zu dem LDAP-Dienst des MMS (standardmäßig TCP-Port 389)
Auswirkung
Zugriff auf das MMS-Daten-Repository und möglicherweise Zugriff
auf das beherbergende Rechnersystem. Etwaige Änderungen der MMS-Konfiguration
könnten danach auf weitere Systeme repliziert werden.
Typ der Verwundbarkeit
design flaw (fehlerhafte Überprüfung der Authentifizierungdaten)
Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Kontext
Die Microsoft Metadirectory Services stellen einen
Dienst für zentralisierte Metaverzeichnisdienste zur Verfügung,
der ungleichartige Daten-Repositories (z.B. Exchange Directory und Active Directory) zusammenfügt.
Beschreibung
Die Microsoft Metadirectory Services (MMS)
weisen eine Schwachstelle bei der Überprüfung von Authentifizierungsdaten auf, falls
mittels eines LDAP-Klienten auf MMS zugegriffen wird.
Durch diese Schwachstelle können unpriviligierte Benutzer auf den
MMS-Dienst (das MMS-Daten-Repository, die MMS-Konfiguration, ...) mit Administrator-Privilegien zugreifen.
Gegenmaßnahmen
Microsoft stellt einen Patch zur Verfügung:
- Microsoft Metadirectory Services 2.2 Service Pack 1:
http://download.microsoft.com/download/mms22/Patch/Q317138/NT5/EN-US/Q317138.EXE
Vulnerability ID
Weitere Information zu diesem Thema
- Microsoft Security Bulletin MS02-036 Authentication Flaw in Microsoft Metadirectory Services Could Allow Privilege Elevation (Q317138)
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
| Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.