Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-602

[MS/IIS] Die Logfiles von Microsoft IIS Webservern können leicht mißinterpretiert werden
(2001-11-29 10:26:52+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/11/msg00155.html

Durch spezielle HTTP-Anfragen kann IIS dazu veranlaßt werden, Logfileeintragungen vorzunehmen, die je nach verwendetem Betrachtungswerkzeug, mißinterpretiert werden können.

Betroffene Systeme

Einfallstor
HTTP-Anfrage (Port 80)

Auswirkung
Falsch interpretierbare Logfiles

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
niedrig
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Durch spezielle HTTP-Anfragen an den Webserver, die Hex-Code enthalten, können Logfileeintragungen erzeugt werden, die bei Betrachtung mit den entsprechenden Werkzeugen leicht mißinterpretiert werden können. Ein Angreifer könnte solche HTTP-Anfragen dazu verwenden, unerlaubte Aktivitäten einer beliebigen IP-Adresse vorzutäuschen.

Betrachtet man die Logfiles des IIS beispielsweise mit edit, wird der Hexcode %0A als Zeilenumbruch und %FF bzw. %09 als Leerzeichen dargestellt.
Mittels einer HTTP-Anfrage der Gestalt:
/index.asp%FF200%FFHTTP/1.1%0A00:52:11%FF127.0.0.1%FFGET%FF/vorgetaeuscht
wird beispielsweise ein Logfileeintrag vorgenommen, der bei der Betrachung mit edit als

<GMT Zeitangabe> <IP Adresse> GET /index.asp 200 HTTP/1.0
00:52:11 127.0.0.1 GET /vorgetaeuscht <Fehlercode>
wiedegegeben wird.

Bei der Betrachtung der Logfiles mit dem Wordpad wird der Hexcode %FF als Sonderzeichen dargestellt, mittels %09 wird im Wordpad ein Leerzeichen vorgetäuscht. Bei der Betrachtung der Logfiles mit dem Notepad findet durch %0A kein Zeilenumbruch statt.

Gegenmaßnahmen
Es liegt bislang keine Reaktion von Microsoft vor.

Workaround
Um Mißinterpretation (durch enthaltenen Hexcode) zu vermeiden, sollten die IIS-Logfiles bei Sicherheitsvorfällen mit verschiedenen Werkzeugen betrachtet werden.

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=602