Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-737

[MS/IIS] Umgehung von Sicherheitsrichtlinien durch .HTR-Webseiten
(2002-03-08 20:49:25+00)

Quelle: http://cert.Uni-Stuttgart.DE/archive/bugtraq/2002/03/msg00113.html

Entgegen Sicherheitsrichtlinien ist mittels .htr-Webseiten eine Änderung von Passwörtern möglich.

Betroffene Systeme

Einfallstor
Zugriff auf .htr-Webseiten

Auswirkung
Änderung von Passwörtern entgegen Sicherheitsrichtlinien.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
niedrig bis mittel (falls mittels .htr-Webseiten Passwortänderungen möglich sind)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Der .htr-ISAPI-Filter des Microsoft IIS-Webservers erlaubt die webbasierte Änderung von Passwörtern. Bei der Standardinstallation des IIS-Webservers (bzw. des Windows 2000 Servers) wird der .htr-ISAPI-Filter aktiviert und .htr-Webseiten unter http://iisserver/iisadmpwd/ angelegt.

Beschreibung
Der ISAPI-Filter .htr berücksichtigt Sicherheitsrichtlinien, insbesondere die Richtlinie, dass eine Änderung des Passwortes nicht gestattet ist, nicht. Durch diesen Umstand ist es Benutzern möglich, unautorisiert ihr Passwort, entgegen einer Sicherheitsrichtlinie, zu ändern.

Workaround
Auf den ISAPI-Filter .htr sollte aus Sicherheitsgründen verzichtet werden, da bereits wiederholt Schwachstellen im ISAPI-Filter entdeckt wurden. Eine Deinstallationsanleitung finden Sie z.B. unter http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/fq00-044.asp

Gegenmaßnahmen
Bislang liegt keine Reaktion vor Microsoft vor.

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=737