You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-394

[MS/IIS/Index Server] Schwachstelle in ISAPI Erweiterungen
(2001-06-19 08:50:52+00) Druckversion

Quelle: http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

Durch einen buffer overflow bug in den ISAPI Erweiterungen .idq und .ida, die standardmäßig auf Microsoft IIS Webserven installiert werden, kann ein Angreifer beliebigen Programmcode mit Systemprivilegien ausführen.

Betroffene Systeme

  • Microsoft Index Server 2.0 (Windows NT 4.0)
  • Indexing Service für Windows 2000/XP
  • Microsoft Windows NT 4.0 Internet Information Services 4.0
  • Microsoft Windows 2000 Internet Information Services 5.0
  • Microsoft Windows XP beta Internet Information Services 6.0 beta

Einfallstor
HTTP-Request

Auswirkung
Ausführung beliebigen Programmcodes mit Systemprivilegien.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Standardinstallation eines Microsoft IIS Webservers beinhaltet ISAPI (Internet Services Application Programming Interface) Erweiterungen für den Index Server 2.0/Indexing Service. Wie nun bekannt wurde, besitzen die ISAPI Erweitungen .ida (Internet Data Administration) und .idq (Internet Data Queries) einen buffer overflow bug.

Diese Schwachstelle kann ein Angreifer ausnutzen, um mittels einer (anonymen) HTTP-Anfrage beliebigen Programmcode auf dem Webserver mit Systemprivilegien auszuführen. Die Schwachstelle kann auch ausgenutzt werden, falls der Index Server 2.0/Indexing Service Dienst deaktiviert ist.

Microsoft IIS Webserver welche die .idq und .ida Script Mappings entfernt haben, sind von dieser Verwundbarkeit nicht betroffen.
Zur Ausnützung der beschriebenen Schwachstelle ist ein IIS Webserver notwendig, d.h. Systemem ohne IIS Webserver sind nicht verwundbar.

Gegenmaßnahmen
Microsoft stellt Patches zur Beseitigung dieser Schwachstelle zur Verfügung.

Workaround
Entfernen Sie alle nicht benötigten Script Mappings (insbesondere .idq und .ida)

  • Öffnen Sie dazu den Internet Services Manager (Internet Information Services Snap-In für die MMC), gehen mittels rechts-klick auf den Webserver auf den Kontextmenüpunkt Properties. Wählen Sie dort HomeDirectory | Configuration aus und entfernen (mindestens) folgende Einträge:
    • .idq
    • .ida
    Da die Script Mappings bei Systemveränderungen, beispielsweise dem Hinzufügen/Entfernen mittels des Control Panel "Add/Remove Programs" "rekonfiguriert" werden, sollten die aktuellen Einstellungen überprüft und der Patch installiert werden.
Eine (dt.) Checkliste zur Absicherung eines IIS 5.0 Webservers finden Sie beispielsweise auf den Webseiten des RUS-CERT unter folgendem URL: http://cert.uni-stuttgart.de/ms-iis5.php

Weitere Information zu diesem Thema

  • eEye Digital Security All versions of Microsoft Internet Information Services Remote buffer overflow (SYSTEM Level Access)

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.