You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-937

[MS,Cisco/Generic] Pufferüberlaufschwachstelle im Network Share Provider (SMB)
(2002-09-19 16:10:53.712472+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/ms/2002/08/msg00005.html

Die Implementierung des Server Message Block (SMB) Protokoll in Microsoft Windows und verschiedenen Cisco-Produkten weist eine Pufferüberlaufschwachstelle auf.

Betroffene Systeme

  • Microsoft Windows NT 4.0 Workstation
  • Microsoft Windows NT 4.0 Server
  • Microsoft Windows NT 4.0 Server, Terminal Sever Edition
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows XP Professional
  • Cisco CallManager
  • Cisco ICS 7750
  • zahlreiche Cisco-Produkte die auf Microsoft-Plattformen eingesetzt werden können
Nach Angaben von Microsoft wurden nur Windows NT 4.0/2000/XP auf diese Schwachstelle getestet, frühere Versionen werden von Microsoft nicht mehr unterstützt und auch nicht mehr auf etwaige Schwachstellen untersucht.

Einfallstor
SMB-Verbindung (TCP-Port 139 und 445)

Auswirkung
Denial of Service (DoS), möglicherweise Ausführung von beliebigem Programmcode

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
mittel bis sehr hoch (insbesondere falls die Ausführung von Programmcode möglich sein sollte)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Microsoft nutzt das Server Message Block (SMB)-Protokoll, um Resourcen wie Dateien (bzw. Festplattenplatz) und Drucker über das Netzwerk zur Verfügung zu stellen.

Beschreibung
Der SMB-Dienst weist eine Pufferüberlaufschwachstelle auf, wodurch zumindest authentifizierte Benutzer mittels einer speziell präparierten SMB-Anfrage Systeme lahmlegen können (Denial of Service), sowie unter Umständen beliebigen Programmcode ausführen können. Standardmäßig ist dieser Angriff auch mit einer Anonymous-Verbindung (Null-Session) möglich, sofern der Anonymous-Zugriff nicht explizit eingeschränkt wurde.

Workaround

  • Filterung von SMB-Anfragen (TCP-Port 445 und 139), wodurch keine Datei- und Druckfreigaben mehr zur Verfügung stehen.
  • Deaktivierung des Lanman-Server-Dienstes, wodurch keine Datei- und Druckfreigaben mehr zur Verfügung stehen.
  • Einschränkung des Anonymous-Zugriffs (siehe Q143474, Q246261) - dieser Workaround schränkt lediglich die Zahl der möglichen Angreifer ein.

Gegenmaßnahmen
Microsoft/Cisco stellen Patches zur Verfügung:

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V.1.0 (2002-08-23)
  • V.2.0 (2002-09-19) Cisco-Advisory hinzugefügt - Betroffen sind von der beschriebenen Schwachstelle ebenfalls der Cisco CallManager als auch Cisco ICS 7750.

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.