Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-784

[MS/IIS] Sammelpatch für den Microsoft IIS
(2002-04-16 12:24:27+00)

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-018.asp

Microsoft behebt mit einem Sammelpatch für den Microsoft Internet Information Server (IIS) zehn neue, gravierende Schwachstellen. Einige dieser Schwachstellen ermöglichen einem Angreifer über eine Netzwerkverbindung die Ausführung von beliebigem Programmcode auf dem beherbergenden Rechnersystem. Der Sammelpatch beinhaltet ferner die meisten bisherigen Sicherheitsupdates für den IIS.

Betroffene Systeme

Da sich der IIS 6.0 noch im Beta-Stadium befindet, liegen nur wenig Informationen über diese Version vor, Microsoft gibt an, daß Versionen des Microsoft .NET-Server nach Build 3605 Sicherheitsupdates für die den IIS 6.0 betreffenden Schwachstellen besitzt.

Einfallstor
HTTP-Anfragen an den IIS-Server (1. - 6., 8. - 10.), FTP-Verbindungen zum IIS-Server (7.)

Auswirkung
Mehrere der Schwachstellen ermöglichen die Kompromittierung des Webservers.

Typ der Verwundbarkeit
buffer overflow bug (1. - 5.), denial of service (6., 7.), cross-site scripting (8. - 10.)

Gefahrenpotential
mittel bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Ein neuer Sammelpatch behebt zehn bislang nicht veröffentlichte Sicherheitslücken im Microsoft IIS. Ferner beinhaltet dieser Sammelpatch die meisten bislang veröffentlichten Sicherheitsupdates für den IIS sowie einige nicht sicherheitsrelevante Updates. Eine Auflistung der Bestandteile des Sammelpatches entnehmen sie z.B. http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q319733.

  1. Es exisitiert ein Pufferüberlauffehler im chunked encoding Transfer der Active Server Pages (ASP)-ISAPI-Erweiterung (asp.dll). Ein Angreifer kann über diese Schwachstelle beliebigen Programmcode auf dem beherbergenden Rechnersystem über eine Netzwerkverbindung ausführen. Der Programmcode wird bei IIS 4.0 mit SYSTEM-Privilegien, bei IIS 5.0 mit IWAM_computername-Privilegien ausgeführt. Die ASP-ISAPI-Erweiterung ist standardmäßig auf IIS-Servern aktiviert.
  2. Es wird über eine weitere, nicht näher beschriebene Schwachstelle in der ASP-ISAPI-Erweiterung (für den Daten-Transfer) berichtet. Von dieser Schwachstelle ist nach Angaben von Microsoft auch IIS 5.1 betroffen. Über diese Schwachstelle kann ein Angreifer beliebigen Programmcode auf dem beherbergenden Rechnersystem ausführen.
  3. Durch eine Pufferüberlauf-Schwachstelle bei der Verarbeitung von HTTP-Header-Informationen kann ein Angreifer, falls ASP aktiviert ist, Programmcode auf dem beherbergenden Rechnersystem ausführen. Der Programmcode wird bei IIS 4.0 mit SYSTEM-Privilegien, bei IIS 5.0/5.1 mit IWAM_computername-Privilegien ausgeführt.
  4. Eine Pufferüberlauf-Schwachstelle in ASP Server-Side-Includes ermöglicht einem Angreifer die Ausführung von Programmcode auf dem beherbergenden System. Der Programmcode wird bei IIS 4.0 mit SYSTEM-Privilegien, bei IIS 5.0 mit IWAM_computername-Privilegien ausgeführt.
  5. Die HTR-ISAPI-Erweiterung weist eine Pufferüberlauf-Schwachstelle auf, durch die ebenfalls beliebiger Programmcode mit den Privilegien des IWAM_computername Account ausgeführt werden kann.
  6. Probleme bei der Handhabung von ISAPI-Filtern, welche DoS-Angriffe ermöglichen können. Bekannt sind derzeit Schwachstellen in den Front Page Server Extensions (FPSE) und ASP.NET.
  7. Der FTP-Dienst ist von einer Denial of Service-Schwachstelle betroffen.
  8. bis 10. Drei cross-site-scripting-Schwachstellen, die teilweise auch die Standardfehlerseite betreffen und so allgemein vorhanden sind.
Da die Schwachstellen teilweise die Kernkomponenten der ASP betreffen, gibt es in der Regel keine Möglichkeit, potentielle Angriffe durch geeignete Konfiguration des IIS zu verhindern.

Gegenmaßnahmen
Installation der von Microsoft zur Verfügung gestellten Patches:

Für die Beta-Version IIS 6.0 (Bestandteil des Microsoft .NET-Server) gibt Microsoft keinen Patch heraus. Die Sicherheitsupdates sind nach Angaben von Microsoft in den Versionen nach Build 3605 beinhaltet.

Hinweis: Es liegen Berichte vor, wonach durch die Installation des Sammelpatches Probleme auftreten können. Microsoft hat bislang Probleme im Zusammenspiel mit dem Microsoft Site Server bestätigt.

Vulnerability ID

  1. CAN-2002-0079 Buffer overrun in Chunked Encoding mechanism
  2. CAN-2002-0147 Microsoft-discovered variant of Chunked Encoding buffer overrun
  3. CAN-2002-0150 Buffer Overrun in HTTP Header handling
  4. CAN-2002-0149 Buffer Overrun in ASP Server-Side Include Function
  5. CAN-2002-0071 Buffer overrun in HTR ISAPI extension
  6. CAN-2002-0072 Access violation in URL error handling
  7. CAN-2002-0073 Denial of service via FTP status request
  8. CAN-2002-0074 Cross-site Scripting in IIS Help File search facility
  9. CAN-2002-0148 Cross-site Scripting in HTTP Error Page
  10. CAN-2002-0075 Cross-site Scripting in Redirect Response message

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=784