RUS-CERT-895 – Archivierte Meldung

Meldung Nr: RUS-CERT-895

[MS/MMS] Schwachstelle bei der Authentifizierung am Microsoft Metadirectory Service
(2002-07-25 16:34:17.452792+00)

Quelle: http://cert.uni-stuttgart.de/archive/ms/2002/07/msg00004.html

Der Microsoft Metadirectory Services (MMS) 2.2 weist eine Schwachstelle bei der Authentifizierung von LDAP-Klienten auf.

Betroffene Systeme

Microsoft Metadirectory Services (MMS) 2.2

Frühere Versionen des MMS (wie etwa 2.1) werden von Microsoft nicht mehr unterstützt und auch nicht mehr auf etwaige Schwachstellen überprüft.

Einfallstor
Verbindung zu dem LDAP-Dienst des MMS (standardmäßig TCP-Port 389)

Auswirkung
Zugriff auf das MMS-Daten-Repository und möglicherweise Zugriff auf das beherbergende Rechnersystem. Etwaige Änderungen der MMS-Konfiguration könnten danach auf weitere Systeme repliziert werden.

Typ der Verwundbarkeit
design flaw (fehlerhafte Überprüfung der Authentifizierungdaten)

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Die Microsoft Metadirectory Services stellen einen Dienst für zentralisierte Metaverzeichnisdienste zur Verfügung, der ungleichartige Daten-Repositories (z.B. Exchange Directory und Active Directory) zusammenfügt.

Beschreibung
Die Microsoft Metadirectory Services (MMS) weisen eine Schwachstelle bei der Überprüfung von Authentifizierungsdaten auf, falls mittels eines LDAP-Klienten auf MMS zugegriffen wird. Durch diese Schwachstelle können unpriviligierte Benutzer auf den MMS-Dienst (das MMS-Daten-Repository, die MMS-Konfiguration, ...) mit Administrator-Privilegien zugreifen.

Gegenmaßnahmen
Microsoft stellt einen Patch zur Verfügung:

Microsoft Metadirectory Services 2.2 Service Pack 1:
http://download.microsoft.com/download/mms22/Patch/Q317138/NT5/EN-US/Q317138.EXE

Vulnerability ID

CAN-2002-0697

Weitere Information zu diesem Thema

Microsoft Security Bulletin MS02-036 Authentication Flaw in Microsoft Metadirectory Services Could Allow Privilege Elevation (Q317138)

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=895