[MS/Macromedia JRun,IIS] Schwachstelle im ISAPI-Filter von Macromedia JRun
(2002-05-31 09:19:26.973099+00)
Quelle:
http://cert.Uni-Stuttgart.DE/archive/bugtraq/2002/05/msg00268.html
Die Macromedia ISAPI-Erweiterung "JRun" weist eine Pufferüberlaufschwachstelle auf, durch die Angreifer beliebigen Programmcode auf dem beherbergenden System ausführen können.
Betroffene Systeme
- Macromedia JRun 3.0/3.1
Nicht betroffene Systeme
- Macromedia JRun 4
Einfallstor
HTTP-Anfrage
Auswirkung
Ausführung beliebigen Programmcodes mit SYSTEM
-Privilegien
(remote host compromise)
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
sehr hoch
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Kontext
Bei der Installation von Macromedia JRun wird der ISAPI-Filter bzw. die
Applikation jrun.dll
im Web-Verzeichnis /scripts
(z.B. C:\InetPub\scripts\jrun.dll
) angelegt. Diese DLL fungiert bei Verwendung
eines Microsoft IIS Webservers als ISAPI-Erweiterung und wird zur
Verarbeitung von .JSP
-Dateien verwendet. Die JRun-DLL kann auch
direkt aufgerufen werden und fungiert dann als Applikation.
Beschreibung
Durch eine Pufferüberlaufschwachstelle im ISAPI-Filter "JRun", Bestandteil
von Macromedias JRun, können Angreifer beliebigen Programmcode mit
SYSTEM
-Privilegien auf dem beherbergenden System
ausführen. Wird JRun auf einem Webserver wie Microsoft IIS eingesetzt,
kann diese Schwachstelle über eine Netzwerkverbindung ausgenutzt werden.
Gegenmaßnahmen
Macromedia stellt Patches zur Verfügung.
- JRun 3.1: http://download.allaire.com/publicdl/en/jrun/31/jrun-31-win-upgrade-us_26414.exe (engl.)
- JRun 3.0: http://download.allaire.com/publicdl/en/jrun/30/jr30sp2_25232.exe (engl.)
Vulnerability ID
- CERT/CC VU#703835
Weitere Information zu diesem Thema
- MPSB02-02-Patch Available for ISAPI buffer overflow in JRun 3.0/3.1
- NGSSoftware Insight Security Research Advisory Macromedia JRUN Buffer overflow vulnerability
- CERT/CC Advisory CA-2002-14 Buffer overflow in Macromedia JRun
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2019 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=827