Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-837

[MS/ASP.NET] Pufferüberlaufschwachstelle im "StateServer"-Modus von ASP.NET
(2002-06-07 17:33:15.824632+00)

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-026.asp

Microsoft ASP.NET, Bestandteil des .NET Framework, weist im "StateServer"-Modus bei der Bearbeitung von Cookies eine Pufferüberlaufschwachstelle auf.

Betroffene Systeme

Einfallstor
arglistiges Cookie, welches der ASP.NET-Applikation übergeben wird

Auswirkung
Denial of Service (DoS) sowie möglicherweise die Ausführung beliebigen Programmcodes, der mit den Privilegien des ASP.NET-Prozesses ausgeführt würde. Der ASP.NET-Prozess läuft in der Standardkonfiguration in einem nicht-privilegierten Sicherheitskontext.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
ASP.NET ist eine Sammlung von Technologien, innerhalb des .NET-Framework, das Entwicklern zur Erstellung von web-basierten Applikationen und XML Webdiensten dient.

Beschreibung
Microsoft ASP.NET, Bestandteil des .NET Framework, weist im "StateServer"-Modus bei der Bearbeitung von Cookies eine Pufferüberlaufschwachstelle auf. Die Schwachstelle kann nur dann ausgenutzt werden, wenn der "StateServer"-Modus aktiviert ist und Cookies verwendet werden. Der "StateServer"-Modus ist in der Voreinstellung nicht aktiviert.

Gegenmaßnahmen
Microsoft stellt einen Patch zur Verfügung

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=837