Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1539

[MS/IIS] Schwachstelle in der WebDAV-Erweiterung der Internet Information Services
(2009-05-21 23:05:12.425361+00)

Quelle: http://www.microsoft.com/technet/security/advisory/971492.mspx

Eine Schwachstelle in der WebDAV-Erweiterung der IIS 5.0, 5.1 und 6.0 kann von einem Angreifer dazu ausgenutzt werden, konfigurierte Authentifizierungsmechanismen zu umgehen und auf geschützte Bereiche zuzugreifen. Zur erfolgreichen Ausnutzung der Schwachstelle ist es lediglich erforderlich, Anfragen an den Webserver senden zu können.

Inhalt

Zusammenfassung

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor

Angriffsvoraussetzung

Angriffsvektorklasse

Auswirkung

Typ der Verwundbarkeit

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Schwachstelle in der WebDAV-Erweiterung der Micosoft Internet Information Services (IIS) der o.g. Versionen kann von einem Angreifer dazu ausgenutzt werden, die konfigurierten Authentifizierungsmechanismen des Webservers für geschützte Bereiche auf dem Server zu umgehen und unautorisiert darauf zuzugreifen. Der Zugriff erfolgt dabei mit den Privilegien des anonymen Benutzers, so dass nur die Teile des Dateisystems les- oder gar schreibbar sind, für die keine Einschränkung der Pivilegien auf Dateisystemebene durch die Vergabe entsprechender Zugriffsrechte vorgenommen wurde.

Für eine erfolgreiche Ausnutzung der Schwachstelle muss der Angreifer in der Lage sein, entsprechende WebDAV-Anfragen an ein betroffenes System zu senden.

Workaround

Gegenmaßnahmen

Vulnerability ID

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1539