You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-704

[MS/Windows] Buffer overflow bug im SNMP Dienst - Update
(2002-03-15 08:00:36+00) Druckversion

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-006.asp

Durch einen Pufferüberlauf im SNMP-Dienst unter Microsoft Windows 95, 98, 98SE, NT 4.0, 2000 und XP kann ein Angreifer über eine Netzwerkverbindung beliebigen Programmcode mit SYSTEM-Privilegien ausführen.

Betroffene Systeme

  • Microsoft Windows 95
  • Microsoft Windows 98
  • Microsoft Windows 98SE
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT 4.0 Server, Terminal Server Edition
  • Microsoft Windows 2000
  • Microsoft Windows XP

Nicht betroffene Systeme

  • Microsoft Windows ME, da Windows ME nicht mit einem SNMP-Dienst ausgeliefert wird

Einfallstor
SNMP-Anfragen (UDP-Ports 161, 162; TCP-Ports 161, 162)

Auswirkung

  • Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien
  • Denial of Service (DoS)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch (falls der SNMP-Dienst aktiviert ist)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
SNMP (Simple Network Management Protocol) ist ein Standardprotokoll zur Administration von Netzwerkgeräten (devices) über Netzwerkverbindungen.

Beschreibung
Durch einen Pufferüberlauf im Simple Network Management Protocol Agent-Dienst unter Microsoft Windows Betriebssystemen kann ein Angreifer über eine Netzwerkverbindung beliebigen Programmcode mit SYSTEM-Privilegien ausführen.

Der SNMP-Dienst wird bei Microsoft Windows 95, 98, 98 SE, NT 4.0, 2000 und XP normalerweise nicht automatisch installiert und gestartet. Es liegen jedoch Berichte vor, wonach beispielsweise bei OEM Versionen von Compaq, Dell, IBM, und HP, die Hardwaremonitor-Dienste installieren, der SNMP-Dienst installiert und gestartet wird.

Workaround

  • Deaktivierung von SNMP-Diensten
    • Windows 95, 98 und 98SE:
      1. Start|Systemsteuerung|Netzwerk auswählen
      2. Unter Konfiguration den "SNMP Agent" aus der Liste der installierten Komponenten auswählen
      3. "Entfernen" auswählen um die SNMP-Komponente zu deinstallieren

      Zur Verifizierung mittels regedit sicherstellen, dass snmp.exe nicht in folgenden Registry-Schlüssel enthalten ist.

      • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
      • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • Windows NT 4.0 (einschließlich Terminal Server Edition) :
      1. Start|Settings|Control Panel auswählen
      2. Services doppelklicken
      3. Auswahl von SNMP aus der Liste der Dienste und auf "Stop" stellen
      4. "Statup" auswählen und auf "Disabled" stellen
    • Windows 2000:
      1. Rechtsklick auf "My Computer" und Auswahl von "Manage" im Kontextmenü
      2. Auswahl von "Services and Applications"
      3. SNMP aus der Liste der Dienste auswählen und auf "Stop" stellen
      4. "Startup" auswählen und auf "Disabled" stellen
    • Windows XP:
      1. Rechtsklick auf "My Computer" und Auswahl von "Manage" im Kontextmenü
      2. Auswahl von "Services and Applications"
      3. SNMP aus der Liste der Dienste auswählen und auf "Stop" stellen
      4. "Startup" auswählen und auf "Disabled" stellen
  • Filterung von SNMP-Anfragen (UDP-Ports 161, 162; TCP-Ports 161, 162)

Gegenmaßnahmen
Microsoft stellt für Windows 2000, Windows XP und Windows NT Patches zur Verfügung. Die Patches für die weiteren Microsoft Betriebssysteme werden derzeit noch entwickelt.

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen

  • V.1.0 (2002-02-15)
  • V.2.0 (2002-02-18) Patches für Windows 2000 und Windows XP verfügbar
  • V.3.0 (2002-03-08) Patches für Windows NT 4.0 verfügbar
  • V.4.0 (2002-03-15) Die deutschen/englischen Patches für Windows NT 4.0 Terminal Server waren fehlerhaft. Microsoft stellt seit dem 14.03.2002 korrigierte Patches zur Verfügung.
  • V.5.0 (2002-04-29) Engl. Patches für Windows 98/98SE verfügbar, derzeit aber noch keine dt. Patches vorhanden.

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.