RUS-CERT-1062 – Archivierte Meldung

Meldung Nr: RUS-CERT-1062

[MS/Windows NT/2000/XP] Pufferüberlaufschwachstelle im Locator-Service
(2003-01-23 16:54:17.666207+00)

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-001.asp

Der Microsoft "Remote Procedure Call (RPC) Locator" Dienst weist eine Pufferüberlaufschwachstelle auf, die zur Kompromittierung des beherbergenden Rechnersystems über eine Netzwerkverbindung ausgenutzt werden kann.

Betroffene Systeme

Microsoft Windows NT 4.0
Microsoft Windows NT 4.0, Terminal Server Edition
Microsoft Windows 2000
Microsoft Windows XP

Einfallstor
RPC-Anfrage (Microsoft gibt dafür die typischen NetBIOS-Ports an)

Auswirkung
Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien
(remote root compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Der RPC-Locator-Service dient als Nameservice für Remote Procedure Calls (RPC), und sorgt für die Namensauflösung von logischen Namen zu Netzwerk-Objekten.

Beschreibung
Der Microsoft "Remote Procedure Call (RPC) Locator" Dienst weist eine Pufferüberlaufschwachstelle auf. Durch diese Schwachstelle können Angreifer mittels eines speziell konstruierten RPC-Aufrufs (der den RPC-Locator verwendet), das beherbergende System kompromittieren.

Der Locator-Dienst ist standardmäßig auf Domain-Controllern unter Windows NT 4.0 und Windows 2000 aktiviert.

Workaround
Wird der RPC-Locator-Dienst nicht benötigt, sollte er ggf. deaktiviert werden. Dies kann z.B. über "Control Panel | Administrative Tools | Services" erfolgen (wobei die Startart ggf. auf "Disabled" gestellt werden sollte).

Gegenmaßnahmen
Microsoft stellt Sicherheitsupdates zur Verfügung:

Windows NT 4.0:
Windows NT 4.0, Terminal Server Edition:
- Alle Sprachversionen
Windows 2000:
- Alle Sprachversionen mit Ausnahme von Japanese NEC
- Japanese NEC Sprachversion
Windows XP:
- 32-bit Edition
- 64-bit Edition

Diese Patches können auf Windows 2000 mit Service Pack 2 oder 3, Windows NT 4.0 mit Service Pack 6a sowie Windows XP mit oder ohne Service Pack 1 installiert werden. Nach der Installation ist ein Neustart des Systems notwendig.

Vulnerability ID

CAN-2003-0003

Weitere Information zu diesem Thema

Microsoft Security Bulletin MS03-001 Unchecked Buffer in Locator Service Could Lead to Code Execution (810833)

Revisionen dieser Meldung

V.1.0 (2003-01-23)
V.1.1 (2003-01-24) CVE-Nummer korrigiert

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=1062