You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1023

[MS/MDAC,IE] Pufferüberlaufschwachstelle in MDAC
(2002-11-22 14:15:57.178619+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/ms/2002/11/msg00000.html

Die Microsoft Data Access Components (MDAC) weisen eine Pufferüberlaufschwachstelle in der RDS-Implementierung auf. Betroffen sind insbesondere Webserver sowie Web-Klienten auf Microsoft-Windows-Betriebssystemen.

Betroffene Systeme

  • Microsoft Data Access Components (MDAC) vor Version 2.7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.1
Die Microsoft Data Access Components sind ferner Bestandteil zahlreicher Produkte, wie z.B. dem Windows NT 4.0 Option Pack.

Nicht betroffene Systeme

  • Microsoft Windows XP (wenngleich XP mit dem Internet Explorer 6.0 ausgeliefert wird, ist es durch die MDAC Version 2.7 nicht von dieser Schwachstelle betroffen)

Einfallstor

  • HTTP-Anfrage (bei Webservern, die MDAC und RDS einsetzen)
  • Arglistige Webseite, HTML-E-Mail oder Newsgruppen-Artikel

Auswirkung

  • Kompromittierung des Webservers
  • Ausführung beliebigen Programmcodes
    (remote user compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Bei den Microsoft Data Access Components (MDAC) handelt es sich um eine Sammlung von Komponenten, um Datenbankverbindungen auf Windows-Plattformen zu nutzen. MDAC ist standardmäßig Bestandteil von Windows XP, Windows 2000 und Windows Millennium Edition. Ferner wird MDAC mit zahlreichen weiteren Produkten (z.B. dem Option Pack für Windows NT 4.0) ausgeliefert.

Beschreibung
MDAC weist eine Pufferüberlaufschwachstelle in der Remote Data Services (RDS)-Implementierung, genauer in der RDS Data Stub Funktion, die HTTP-Anfragen in RDS-Befehle umsetzt, auf.

Wird MDAC und RDS auf Webservern eingesetzt, können Angreifer mittels einer HTTP-Anfrage unter Umständen den Webserver kompromittieren. RDS ist normalerweise auf IIS-Webservern standardmäßig deaktiviert.

Eine Gefahr existiert auch für Web-Klienten auf Microsoft-Windows-Plattformen (Ausnahme bildet Windows XP). Bei dem Betrachten einer arglistigen Webseite, HTML-E-Mail bzw. Newsgruppen-Artikel kann über diese Pufferüberlaufschwachstelle für den Benutzer unbemerkt beliebiger Programmcode mit den Privilegien des Benutzers ausgeführt werden.

Gegenmaßnahmen
Microsoft stellt einen Patch zur Verfügung:

Die Installation des Patch kann auf folgenden Systemen erfolgen:
  • Windows 98, Windows 98SE, Windows Me
  • Windows NT4 mit Service Pack 6a
  • Windows 2000 mit Service Pack 2 oder Service Pack 3
Dieser Patch setzt das so genannte "Kill Bit" auf dem betroffenen ActiveX Control nicht, wodurch potentiell Roll-Back-Angriffe möglich sind. Sollte z.B. der nun verfügbare Patch auf MDAC 2.5 installiert werden und irgendwann der MDAC 2.5 Service Pack 2 auf dem gepachten System eingespielt werden, ist das System abermals verwundbar. Die "Windows Update"-Funktion erkennt das System jedoch nicht mehr als potentiell verwundbar.

Anstelle des Patch wird wenn möglich das Upgrade auf MDAC 2.7 empfohlen.

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V.1.0 (2002-11-22)
  • V.2.0 (2002-11-25) CAN-Link korrigiert und Hervorhebung des Upgrade auf MDAC 2.7

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.