Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-339

[MS/IIS 5.0] buffer overflow im ".printer" ISAPI Filter
(2001-05-02 09:26:03+00)

Quelle: http://www.microsoft.com/technet/security/bulletin/MS01-023.asp

Durch einen buffer overflow im ".printer" ISAPI Filter kann beliebiger Programmcode mit Systemprivilegien auf dem Webserver ausgeführt werden.

Betroffene Systeme

Die Schwachstelle kann nur bei Verwendung des IIS 5.0 ausgenutzt werden.

Typ der Verwundbarkeit
buffer overflow bug

Beschreibung
Der ".printer" ISAPI (Internet Services Application Programming Interface) Filter dient zur Verwaltung von Druckaufträgen über HTTP mittels des Internet Printing Protocol (IPP). Dieser Filter ist standardmässig auf Windows 2000 Servern (und somit IIS-Webservern) installiert, und besitzt wie nun bekannt wurde, einen buffer overflow bug.

Durch diese Schwachstelle kann mittels einer ".printer" HTTP-Anfrage beliebiger Programmcode mit Systemprivilegien auf dem Webserver ausgeführt werden.

Webserver bei denen die Internet Printing ISAPI Erweiterung (.printer) deinstalliert wurde, sind von dieser Schwachstelle nicht betroffen.

Gefahrenpotential
sehr hoch (remote System-Privilegien erlangbar)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen
Microsoft stellt einen Patch zur Behebung dieser Schwachstelle zur Verfügung.

Eine tabellarische Übersicht der Microsoft Windows 2000 Security Patches mit Links zu dem Mirror der Security Patches auf dem ftp-Server der Universität Stuttgart finden sie hier.

Workaround
Entfernen Sie alle Script Mappings die Sie nicht (unbedingt) benötigen. Öffnen Sie dazu den Internet Services Manager ("Internet Information Services" Snap-In für die MMC), gehen mittels recht-klick auf den Webserver auf den Kontextmenüpunkt Properties. Wählen Sie dort HomeDirectory | Configuration aus und entfernen als Workaround für die beschriebene Schwachstelle den .printer (Internet Printing) Eintrag.
Hinweis: Sollte die Web Printing Group Policy (Group Policy | Computer Configuration | Administrative Templates | Printers | Web-based Printing) aktiviert sein, so wird die (bereits entfernte) Internet Printing ISAPI Erweiterung wieder hinzugefügt. Es sollte deshalb sichergestellt werden, dass diese Group Policy deaktiviert ist.

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=339