Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-65

[MS/IIS] Eine Sicherheitslücke im IIS erlaubt die Betrachtung von Dateien
(2001-01-09 08:26:31+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/01/msg00091.html

Durch eine Schwachstelle im Internet Information Server (IIS) können CGI-Skripte eingesehen werden.

Betroffene Systeme

Beschreibung
Durch entsprechend formultierte http Anfragen können Skripte eingesehen werden.
So liefert z.B. http://TARGETIIS/scripts/test.pl%3F+.htr Einsicht in das /scripts/test.pl Skript, anstatt die Ausführung selbigen Skriptes zu bewirken.
Die Ausnutzung der Schwachstelle mittels "%3F+.htr" exisitiert wenn der "File Fragment Reading" Patch (MS00-031 bzw. MS00-044) installiert wurde.

Wurde der "File Fragment Reading" Security Fix nicht installiert, so können Skripte mittels http://TARGETIIS/scripts/test.pl+.htr eingesehen werden.

Die Hauptgefahr dieser Schwachstelle besteht in der Einsicht von geschützten Skripten, die z.B. Passwörter bzw. Passwortabfragen beinhalten können.

Gefahrenpotential
mittel

Maßnahmen
Bisher liegt noch kein Patch vom Hersteller Microsoft vor.
Deinstallieren sie die ".HTR" Funktionalität wie im FQ00-044 oder in der Microsoft Internet Information Server 4.0 Security Checklist beschrieben bzw. mittels des Windows 2000 Internet Server Security Configuration Tool for Internet Information Server 5 (IIS5).

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=65