[MS/IE,ISA Server,Proxy Server] Pufferüberlaufschwachstelle bei der Verarbeitung von Gopher-Antworten - Update
(2002-06-16 17:14:43.793267+00)
Quelle:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-027.asp
Der Microsoft ISA Sever 2000, der Proxy Server 2.0 und der Internet Explorer weisen eine Pufferüberlaufschwachstelle bei der Verarbeitung der von Gopher-Servern gelieferten Daten auf.
Betroffene Systeme
- Microsoft Internet Explorer
- Microsoft Proxy Server 2.0
- Microsoft ISA Server 2000
Einfallstor
Verarbeitung der Rückantwort eines mit arglistiger Absicht erstellten
Gopher-Servers. Eine Verbindung zu einem solchen Gopher-Server kann
beispielsweise durch eine böswillige Webseite, HTML-E-Mail bzw.
HTML-Newsgruppenartikel initiiert werden.
Auswirkung
Ein Angreifer kann beliebigen Programmcode auf dem beherbergenden
Rechnersystem ausführen. Im Falle eines Microsoft Proxy Server 2.0 bzw.
ISA Server 2000 wird der Programmcode mit SYSTEM
-Privilegien
ausgeführt. Durch die Schwachstelle im Internet Explorer kann Programmcode
mit den Privilegien des Anwenders ausgeführt werden.
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
Wie bereits in der RUS-CERT-Meldung #836 beschrieben,
weist der Internet Explorer eine Schwachstelle bei der Verarbeitung der von
Gopher-Servern gelieferten Daten auf. Wie nun bekannt wurde, ist von dieser
Schwachstelle auch der Microsoft Internet Security and Acceleration
(ISA) Server 2000 und der Proxy Server 2.0 betroffen.
Der Microsoft ISA Server 2000 bzw. Proxy Server 2.0 ist verwundbar, falls die
Verbindung zu einem arglistigen Gopher-Server über diesen Proxy-Dienst erfolgt. Wird
die böswillige Antwort des Gopher-Servers durch den Proxy-Dienst verarbeitet, kann
die Pufferüberlaufschwachstelle ausgenutzt, und beliebiger Programmcode
mit SYSTEM
-Privilegien auf dem Proxy-System ausgeführt werden.
Workaround
- Proxy Server 2.0/ISA Server 2000
Deaktivieren Sie das Gopher-Protokoll. Eine ausführliche Anleitung entnehmen Sie bitte dem Microsoft Advisory MS02-027. - Internet Explorer
Wird der Gopher-Dienst nicht benötigt, sollte als Workaround in den Proxy-Einstellungen (Tools|Internet Settings...|Connections|LAN Settings...
) ein ungültiger Gopher-Proxy eingetragen werden, damit keine direkte Verbindung zu einem Gopher-Server erfolgen kann. Es kann dazu beispielsweise "localhost" als Proxy-Adresse und z.B. "1" als beliebiger ungültiger Port eingetragen werden.
Gegenmaßnahmen
Microsoft stellt seit dem 14.06.2002 Patches für den ISA Server 2000 und den Proxy-Server 2.0 zur Verfügung.
- ISA Server 2000:
http://www.microsoft.com/downloads/release.asp?ReleaseID=39856 - Proxy Server 2.0:
http://www.microsoft.com/downloads/release.asp?ReleaseID=39861 - Internet Explorer:
Für den IE liegt derzeit noch kein Patch vor.
Vulnerability ID
Weitere Information zu diesem Thema
- Microsoft Security Bulletin MS02-027 Unchecked Buffer in Gopher Protocol Handler Can Run Code of Attacker's Choice (Q323889)
Revisionen
- V.1.0 (2002-06-12)
- V.2.0 (2002-06-16) Patch für ISA Server 2000 und für den Proxy Server 2.0 verfügbar
Weitere Artikel zu diesem Thema:
- [MS/IE] Schwachstellen im Microsoft Internet Explorer (2002-06-05)
Der Microsoft Internet Explorer weist mehrere Pufferüberlaufschwachstellen auf.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=846