[MS/IE,ISA Server,Proxy Server] Pufferüberlaufschwachstelle bei der Verarbeitung von Gopher-Antworten - Update
(2002-06-16 17:14:43.793267+00)
Quelle:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-027.aspDer Microsoft ISA Sever 2000, der Proxy Server 2.0 und der Internet Explorer weisen eine Pufferüberlaufschwachstelle bei der Verarbeitung der von Gopher-Servern gelieferten Daten auf.
Betroffene Systeme
- Microsoft Internet Explorer
- Microsoft Proxy Server 2.0
- Microsoft ISA Server 2000
Einfallstor
Verarbeitung der Rückantwort eines mit arglistiger Absicht erstellten Gopher-Servers. Eine Verbindung zu einem solchen Gopher-Server kann beispielsweise durch eine böswillige Webseite, HTML-E-Mail bzw. HTML-Newsgruppenartikel initiiert werden.
Auswirkung
Ein Angreifer kann beliebigen Programmcode auf dem beherbergenden Rechnersystem ausführen. Im Falle eines Microsoft Proxy Server 2.0 bzw. ISA Server 2000 wird der Programmcode mit SYSTEM-Privilegien ausgeführt. Durch die Schwachstelle im Internet Explorer kann Programmcode mit den Privilegien des Anwenders ausgeführt werden.
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Wie bereits in der RUS-CERT-Meldung #836 beschrieben, weist der Internet Explorer eine Schwachstelle bei der Verarbeitung der von Gopher-Servern gelieferten Daten auf. Wie nun bekannt wurde, ist von dieser Schwachstelle auch der Microsoft Internet Security and Acceleration (ISA) Server 2000 und der Proxy Server 2.0 betroffen. Der Microsoft ISA Server 2000 bzw. Proxy Server 2.0 ist verwundbar, falls die Verbindung zu einem arglistigen Gopher-Server über diesen Proxy-Dienst erfolgt. Wird die böswillige Antwort des Gopher-Servers durch den Proxy-Dienst verarbeitet, kann die Pufferüberlaufschwachstelle ausgenutzt, und beliebiger Programmcode mit SYSTEM-Privilegien auf dem Proxy-System ausgeführt werden.
Workaround
- Proxy Server 2.0/ISA Server 2000
Deaktivieren Sie das Gopher-Protokoll. Eine ausführliche Anleitung entnehmen Sie bitte dem Microsoft Advisory MS02-027. - Internet Explorer
Wird der Gopher-Dienst nicht benötigt, sollte als Workaround in den Proxy-Einstellungen (Tools|Internet Settings...|Connections|LAN Settings...) ein ungültiger Gopher-Proxy eingetragen werden, damit keine direkte Verbindung zu einem Gopher-Server erfolgen kann. Es kann dazu beispielsweise "localhost" als Proxy-Adresse und z.B. "1" als beliebiger ungültiger Port eingetragen werden.
Gegenmaßnahmen
Microsoft stellt seit dem 14.06.2002 Patches für den ISA Server 2000 und den Proxy-Server 2.0 zur Verfügung.
- ISA Server 2000:
http://www.microsoft.com/downloads/release.asp?ReleaseID=39856 - Proxy Server 2.0:
http://www.microsoft.com/downloads/release.asp?ReleaseID=39861 - Internet Explorer:
Für den IE liegt derzeit noch kein Patch vor.
Vulnerability ID
Weitere Information zu diesem Thema
- Microsoft Security Bulletin MS02-027 Unchecked Buffer in Gopher Protocol Handler Can Run Code of Attacker's Choice (Q323889)
Revisionen
- V.1.0 (2002-06-12)
- V.2.0 (2002-06-16) Patch für ISA Server 2000 und für den Proxy Server 2.0 verfügbar
Weitere Artikel zu diesem Thema:
- [MS/IE] Schwachstellen im Microsoft Internet Explorer (2002-06-05)
Der Microsoft Internet Explorer weist mehrere Pufferüberlaufschwachstellen auf.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=846