Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-972

[MS/IIS,FPSE] Frontpage-Server-Erweiterung weist Pufferüberlaufschwachstelle auf
(2002-09-26 16:13:51.311028+00)

Quelle: http://cert.uni-stuttgart.de/archive/ms/2002/09/msg00006.html

Die Frontpage-Server-Erweiterungen (FPSE) weisen Schwachstellen auf, wodurch Angreifer mittels einer HTML-Anfrage unter Umständen beliebigen Programmcode mit den Privilegien des Webservers ausführen können.

Betroffene Systeme

Frühere Versionen der FrontPage-Server-Erweiterungen sowie des IIS-Webservers werden von Microsoft nicht mehr unterstützt und auch nicht mehr auf etwaige Schwachstellen gestestet.

Einfallstor
HTTP-Anfrage

Auswirkung

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
mittel bis sehr hoch (insbesondere falls FPSE 2002 auf IIS-Webservern eingesetzt wird)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Der SmartHTML-Interpreter ist Teil der FrontPage Server Extensions (FPSE) und unterstützt verschiedene Arten von dynamischen Webinhalten.

Beschreibung
Der SmartHTML-Interpreter (shtml.dll) weist Schwachstellen auf, die von Angreifern durch Senden einer HTML-Anfrage ausgenutzt werden können. Bei installierter FPSE 2000 kann dies zu einem Denial of Service (DoS)-Angriff, bei FPSE 2002 gar zur Ausführung von beliebigem Programmcode mit den Privilegien des Webserver-Prozesses führen.

Feststellen der Verwundbarkeit
Durchsuchen Sie das Dateisystem nach einer Datei mit dem Namen shtml.dll. Mittels Rechtsklick und Auswahl von "Eigenschaften|Version" kann die Versionsnummer sowie der Produktname angezeigt werden. Sollte als Produktname "Microsoft Frontpage 2000" bzw. "Microsoft Frontpage 2002" ausgegeben werden, ist das System potentiell verwundbar.

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=972