You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-896

[MS/Microsoft Exchange 5.5] Schwachstelle in Microsoft Exchange
(2002-07-25 16:43:30.219723+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/ms/2002/07/msg00005.html

Der Exchange 5.5 Internet Mail Connector (IMC) weist eine Pufferüberlaufschwachstelle bei der Verarbeitung des EHLO-SMTP-Kommandos auf.

Betroffene Systeme

  • Microsoft Exchange Server 5.5

Nicht betroffene Systeme

  • Microsoft Exchange Server 2000

Einfallstor
Ein Angreifer hat zwei Optionen:

  • direkte SMTP-Verbindung (TCP-Port 25) und Kontrolle des DNS-Reverse Mapping des SMTP-Clients
  • Zustellung einer Nachricht (auch über ein Relay) und DNS-Spoofing des Reverse Mappings des beim Exchange-Server einliefernden SMTP-Servers (also des Relays).

Auswirkung
Denial of Service (DoS) sowie Ausführung beliebigen Programmcodes mit den Privilegien des Exchange-Dienstes.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der Exchange 5.5 Internet Mail Connector (IMC), der für die Verarbeitung und Generierung einer Rückantwort auf den SMTP-Befehl "EHLO" (extended Hello) gemäß RFC1869 zuständig ist, weist eine Pufferüberlaufschwachstelle auf. Ein Angreifer kann dadurch beliebigen Code mit den Privilegien des Exchange-Dienstes ausführen.

Für die Ausnützung der Schwachstelle muss der Angreifer Kontrolle über das Reverse Mapping von DNS besitzen. Falls der Angriff über DNS-Spoofing erfolgt, kann die Schwachstelle auch über ein Relay ausgenutzt werden. Falls der Angreifer lediglich eine DNS-Zone fürs Reverse Mapping entsprechend manipulieren kann, wird er in der Regel zusätzlich eine direkte Verbindung zum SMTP-Server aufbauen müssen.

Workaround

  • Gemäß Q190026 kann das Reverse DNS Lookup (bei EHLO) deaktiviert werden.
Durch diesen Workaround wird die Ausnutzung der Schwachstelle unterbunden.

Gegenmaßnahmen
Microsoft stellt einen Patch zur Verfügung:

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.