Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-737

[MS/IIS] Umgehung von Sicherheitsrichtlinien durch .HTR-Webseiten
(2002-03-08 20:49:25+00) Druckversion

Quelle: http://cert.Uni-Stuttgart.DE/archive/bugtraq/2002/03/msg00113.html

Entgegen Sicherheitsrichtlinien ist mittels .htr-Webseiten eine Änderung von Passwörtern möglich.

Betroffene Systeme

  • Microsoft Windows NT 4.0 mit IIS-Webserver und .htr-Webseiten
  • möglicherweise ist auch Windows 2000 mit installiertem IIS-Webserver und .HTR-Webseiten verwundbar
  • möglicherweise sind weitere Produkte betroffen

Einfallstor
Zugriff auf .htr-Webseiten

Auswirkung
Änderung von Passwörtern entgegen Sicherheitsrichtlinien.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
niedrig bis mittel (falls mittels .htr-Webseiten Passwortänderungen möglich sind)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Der .htr-ISAPI-Filter des Microsoft IIS-Webservers erlaubt die webbasierte Änderung von Passwörtern. Bei der Standardinstallation des IIS-Webservers (bzw. des Windows 2000 Servers) wird der .htr-ISAPI-Filter aktiviert und .htr-Webseiten unter http://iisserver/iisadmpwd/ angelegt.

Beschreibung
Der ISAPI-Filter .htr berücksichtigt Sicherheitsrichtlinien, insbesondere die Richtlinie, dass eine Änderung des Passwortes nicht gestattet ist, nicht. Durch diesen Umstand ist es Benutzern möglich, unautorisiert ihr Passwort, entgegen einer Sicherheitsrichtlinie, zu ändern.

Workaround
Auf den ISAPI-Filter .htr sollte aus Sicherheitsgründen verzichtet werden, da bereits wiederholt Schwachstellen im ISAPI-Filter entdeckt wurden. Eine Deinstallationsanleitung finden Sie z.B. unter http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/fq00-044.asp

Gegenmaßnahmen
Bislang liegt keine Reaktion vor Microsoft vor.

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.