Microsoft stellt im Rahmen seines Security Bulletin Summary for June 2008 Patches bzw. Updates zur Behebung von insgesamt neun Schwachstellen bereit. Die Schwachstellen betreffen die Betriebssystme Windows 2000, Windows XP, Server 2003, Vista und Server 2008, die Microsoft SQL Server 2000 Desktop Engine, die Windows Internal Database sowie den Exchange Server 2003 und 2007 und ermöglichen die Erweiterung der Privilegien unprivilegierter Benutzer, DNS cache poisoning sowie die Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem. Es wird dringend empfohlen, die Updates zu installieren.

Inhalt

• Betroffene Systeme
• Nicht betroffene Systeme
• Gegenmaßnahmen
• Vulnerability ID
• Weitere Information zu diesem Thema

Betroffene Systeme

• CVE-2008-0085:
  • SQL Server 7.0 SP4
  • SQL Server 2000 SP4
  • SQL Server 2000 für Itanium-basierte Systeme SP4
  • SQL Server 2005 SP2
  • SQL Server 2005 x64 Edition SP2
  • SQL Server 2005 SP2 für Itanium-basierte Systeme
  • Microsoft Data Engine (MSDE) 1.0 SP4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) SP4
  • Microsoft SQL Server 2005 Express Edition SP2
  • Microsoft SQL Server 2005 Express Edition Advanced Services SP2
  • Microsoft SQL Server 2000 Desktop Engine (WMSDE) unter Microsoft Windows 2000 SP4
  • Microsoft SQL Server 2000 Desktop Engine (WMSDE) unter Microsoft Windows Server 2003 SP1 und SP2
  • Windows Internal Database (WYukon) SP2 unter Microsoft Windows Server 2003 SP1 und SP2
  • Microsoft SQL Server 2000 Desktop Engine (WMSDE) unter Microsoft Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition SP2
  • Windows Internal Database (WYukon) x64 Edition SP2 unter Microsoft Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition SP2
  • Windows Internal Database (WYukon) SP2 unter Microsoft Windows Server 2008 für 32-Bit-Systeme
  • Windows Internal Database (WYukon) x64 Edition SP2 unter Microsoft Windows Server 2008 für x64-basierte Systeme
• CVE-2008-0086:
  • SQL Server 7.0 SP4
  • SQL Server 2000 SP4
  • SQL Server 2000 für Itanium-basierte Systeme SP4
  • SQL Server 2005 SP2
  • SQL Server 2005 x64 Edition SP2
  • SQL Server 2005 SP2 für Itanium-basierte Systeme
  • Microsoft Data Engine (MSDE) 1.0 SP4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) SP4
  • Microsoft SQL Server 2005 Express Edition SP2
  • Microsoft SQL Server 2005 Express Edition Advanced Services SP2
  • Microsoft SQL Server 2000 Desktop Engine (WMSDE) unter Microsoft Windows 2000 SP4
  • Microsoft SQL Server 2000 Desktop Engine (WMSDE) unter Microsoft Windows Server 2003 SP1 und SP2
  • Windows Internal Database (WYukon) SP2 unter Microsoft Windows Server 2003 SP1 und SP2
  • Microsoft SQL Server 2000 Desktop Engine (WMSDE) unter Microsoft Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition SP2
  • Windows Internal Database (WYukon) x64 Edition SP2 unter Microsoft Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition SP2
  • Windows Internal Database (WYukon) SP2 unter Microsoft Windows Server 2008 für 32-Bit-Systeme
  • Windows Internal Database (WYukon) x64 Edition SP2 unter Microsoft Windows Server 2008 für x64-basierte Systeme
• CVE-2008-0107:
  • SQL Server 7.0 SP4
  • SQL Server 2000 SP4
  • SQL Server 2000 für Itanium-basierte Systeme SP4
  • SQL Server 2005 SP2
  • SQL Server 2005 x64 Edition SP2
  • SQL Server 2005 SP2 für Itanium-basierte Systeme
  • Microsoft Data Engine (MSDE) 1.0 SP4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) SP4
  • Microsoft SQL Server 2005 Express Edition SP2
  • Microsoft SQL Server 2005 Express Edition Advanced Services SP2
  • Microsoft SQL Server 2000 Desktop Engine (WMSDE) unter Microsoft Windows 2000 SP4
  • Microsoft SQL Server 2000 Desktop Engine (WMSDE) unter Microsoft Windows Server 2003 SP1 und SP2
  • Windows Internal Database (WYukon) SP2 unter Microsoft Windows Server 2003 SP1 und SP2
  • Microsoft SQL Server 2000 Desktop Engine (WMSDE) unter Microsoft Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition SP2
  • Windows Internal Database (WYukon) x64 Edition SP2 unter Microsoft Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition SP2
  • Windows Internal Database (WYukon) SP2 unter Microsoft Windows Server 2008 für 32-Bit-Systeme
  • Windows Internal Database (WYukon) x64 Edition SP2 unter Microsoft Windows Server 2008 für x64-basierte Systeme
• CVE-2008-0106:
  • SQL Server 7.0 SP4
  • SQL Server 2000 SP4
  • SQL Server 2000 für Itanium-basierte Systeme SP4
  • SQL Server 2005 SP2
  • SQL Server 2005 x64 Edition SP2
  • SQL Server 2005 SP2 für Itanium-basierte Systeme
  • Microsoft Data Engine (MSDE) 1.0 SP4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) SP4
  • Microsoft SQL Server 2005 Express Edition SP2
  • Microsoft SQL Server 2005 Express Edition Advanced Services SP2
  • Microsoft SQL Server 2000 Desktop Engine (WMSDE) unter Microsoft Windows 2000 SP4
  • Microsoft SQL Server 2000 Desktop Engine (WMSDE) unter Microsoft Windows Server 2003 SP1 und SP2
  • Windows Internal Database (WYukon) SP2 unter Microsoft Windows Server 2003 SP1 und SP2
  • Microsoft SQL Server 2000 Desktop Engine (WMSDE) unter Microsoft Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition SP2
  • Windows Internal Database (WYukon) x64 Edition SP2 unter Microsoft Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition SP2
  • Windows Internal Database (WYukon) SP2 unter Microsoft Windows Server 2008 für 32-Bit-Systeme
  • Windows Internal Database (WYukon) x64 Edition SP2 unter Microsoft Windows Server 2008 für x64-basierte Systeme
• CVE-2008-1435:
  • Windows Vista und Windows Vista SP1
  • Windows Vista x64 Edition und Windows Vista x64 Edition SP1
  • Windows Server 2008 für 32-Bit-Systeme
  • Windows Server 2008 für x64-basierte Systeme
  • Windows Server 2008 für Itanium-basierte Systeme
• CVE-2008-1447:
  • DNS-Client unter Microsoft Windows 2000 SP4
  • DNS-Server unter Microsoft Windows 2000 SP4
  • DNS-Client unter Windows XP SP2 und Windows XP SP3
  • DNS-Client unter Windows XP Professional x64 Edition und Windows XP Professional x64 Edition SP2
  • DNS-Client unter Windows Server 2003 SP1 und Windows Server 2003 SP2
  • DNS-Server unter Windows Server 2003 SP1 und Windows Server 2003 SP2
  • DNS-Client unter Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition SP2
  • DNS-Server unter Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition SP2
  • DNS-Client unter Windows Server 2003 SP1 für Itanium-basierte Systeme und Windows Server 2003 SP2 für Itanium-basierte Systeme
  • DNS-Server unter Windows Server 2003 SP1 für Itanium-basierte Systeme und Windows Server 2003 SP2 für Itanium-basierte Systeme
  • DNS-Server unter Windows Server 2008 für 32-Bit-Systeme
  • DNS-Server unter Windows Server 2008 für x64-basierte Systeme
• CVE-2008-1454:
  • DNS-Client unter Microsoft Windows 2000 SP4
  • DNS-Server unter Microsoft Windows 2000 SP4
  • DNS-Client unter Windows XP SP2 und Windows XP SP3
  • DNS-Client unter Windows XP Professional x64 Edition und Windows XP Professional x64 Edition SP2
  • DNS-Client unter Windows Server 2003 SP1 und Windows Server 2003 SP2
  • DNS-Server unter Windows Server 2003 SP1 und Windows Server 2003 SP2
  • DNS-Client unter Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition SP2
  • DNS-Server unter Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition SP2
  • DNS-Client unter Windows Server 2003 SP1 für Itanium-basierte Systeme und Windows Server 2003 SP2 für Itanium-basierte Systeme
  • DNS-Server unter Windows Server 2003 SP1 für Itanium-basierte Systeme und Windows Server 2003 SP2 für Itanium-basierte Systeme
  • DNS-Server unter Windows Server 2008 für 32-Bit-Systeme
  • DNS-Server unter Windows Server 2008 für x64-basierte Systeme
• CVE-2008-2247:
  • Microsoft Exchange Server 2003 SP2
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2007 SP1
• CVE-2008-2248:
  • Microsoft Exchange Server 2003 SP2
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2007 SP1

Nicht betroffene Systeme

• CVE-2008-1435:
  • Microsoft Windows 2000 SP4
  • Windows XP SP2 und Windows XP SP3
  • Windows XP Professional x64 Edition und Windows XP Professional x64 Edition SP2
  • Windows Server 2003 SP1 und Windows Server 2003 SP2
  • Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 SP1 für Itanium-basierte Systeme und Windows Server 2003 SP2 für Itanium-basierte Systeme
• CVE-2008-1447:
  • Windows Vista und Windows Vista SP1
  • Windows Vista x64 Edition und Windows Vista x64 Edition SP1
  • Windows Server 2008 für Itanium-basierte Systeme
• CVE-2008-1454:
  • Windows Vista und Windows Vista SP1
  • Windows Vista x64 Edition und Windows Vista x64 Edition SP1
  • Windows Server 2008 für Itanium-basierte Systeme

Gegenmaßnahmen

• CVE-2008-0085:
  Installation der mit dem Microsoft Security Bulletin MS08-040 bereitgestellten Patches bzw. Updates
• CVE-2008-0086:
  Installation der mit dem Microsoft Security Bulletin MS08-040 bereitgestellten Patches bzw. Updates
• CVE-2008-0107:
  Installation der mit dem Microsoft Security Bulletin MS08-040 bereitgestellten Patches bzw. Updates
• CVE-2008-0106:
  Installation der mit dem Microsoft Security Bulletin MS08-040 bereitgestellten Patches bzw. Updates
• CVE-2008-1435:
  Installation der mit dem Microsoft Security Bulletin MS08-038 bereitgestellten Patches bzw. Updates
• CVE-2008-1447:
  Installation der mit dem Microsoft Security Bulletin MS08-037 bereitgestellten Patches bzw. Updates
• CVE-2008-1454:
  Installation der mit dem Microsoft Security Bulletin MS08-037 bereitgestellten Patches bzw. Updates
• CVE-2008-2247:
  Installation der mit dem Microsoft Security Bulletin MS08-039 bereitgestellten Patches bzw. Updates
• CVE-2008-2248:
  Installation der mit dem Microsoft Security Bulletin MS08-039 bereitgestellten Patches bzw. Updates

Vulnerability ID

• CVE-2008-0085
• CVE-2008-0086
• CVE-2008-0107
• CVE-2008-0106
• CVE-2008-1435
• CVE-2008-1447
• CVE-2008-1454
• CVE-2008-2247
• CVE-2008-2248

Weitere Information zu diesem Thema

• CVE-2008-1447:
  Siehe auch RUS-CERT-1476: [Generic/DNS] Schwachstelle im DNS-Protokoll vereinfacht cache poisoning

Weitere Artikel zu diesem Thema:

• [Generic/DNS] Schwachstelle im DNS-Protokoll vereinfacht cache poisoning (UPDATE) (2008-07-08)
  Eine Entwurfsschwachstelle im DNS-Protokoll ermöglicht das sehr viel leichtere Implantieren beliebiger Daten in den Cache von DNS-Resolvern (sog. cache poisoning) als bisher gedacht. DNS-Resolver, die die sogenannte source port randomization implementieren, sind über diese Schwachstelle sehr viel schwieriger anzugreifen, weshalb deren Konfiguration dringend empfohlen wird. Für BIND 9 werden Patches bereitgestellt, die dies ermöglichen. Statische Firewalls, die solchermaßen umkonfigurierte Resolver schützen, müssen ebenfalls entsprechend umkonfiguriert werden. UPDATE: Mittlerweile sind Details zur Schwachstelle durchgesickert.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/