RUS-CERT-339 – Archivierte Meldung

Meldung Nr: RUS-CERT-339

[MS/IIS 5.0] buffer overflow im ".printer" ISAPI Filter
(2001-05-02 09:26:03+00)

Quelle: http://www.microsoft.com/technet/security/bulletin/MS01-023.asp

Durch einen buffer overflow im ".printer" ISAPI Filter kann beliebiger Programmcode mit Systemprivilegien auf dem Webserver ausgeführt werden.

Betroffene Systeme

Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server

Die Schwachstelle kann nur bei Verwendung des IIS 5.0 ausgenutzt werden.

Typ der Verwundbarkeit
buffer overflow bug

Beschreibung
Der ".printer" ISAPI (Internet Services Application Programming Interface) Filter dient zur Verwaltung von Druckaufträgen über HTTP mittels des Internet Printing Protocol (IPP). Dieser Filter ist standardmässig auf Windows 2000 Servern (und somit IIS-Webservern) installiert, und besitzt wie nun bekannt wurde, einen buffer overflow bug.

Durch diese Schwachstelle kann mittels einer ".printer" HTTP-Anfrage beliebiger Programmcode mit Systemprivilegien auf dem Webserver ausgeführt werden.

Webserver bei denen die Internet Printing ISAPI Erweiterung (.printer) deinstalliert wurde, sind von dieser Schwachstelle nicht betroffen.

Gefahrenpotential
sehr hoch (remote System-Privilegien erlangbar)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen
Microsoft stellt einen Patch zur Behebung dieser Schwachstelle zur Verfügung.

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29321

Eine tabellarische Übersicht der Microsoft Windows 2000 Security Patches mit Links zu dem Mirror der Security Patches auf dem ftp-Server der Universität Stuttgart finden sie hier.

Workaround
Entfernen Sie alle Script Mappings die Sie nicht (unbedingt) benötigen. Öffnen Sie dazu den Internet Services Manager ("Internet Information Services" Snap-In für die MMC), gehen mittels recht-klick auf den Webserver auf den Kontextmenüpunkt Properties. Wählen Sie dort HomeDirectory | Configuration aus und entfernen als Workaround für die beschriebene Schwachstelle den .printer (Internet Printing) Eintrag.
Hinweis: Sollte die Web Printing Group Policy (Group Policy | Computer Configuration | Administrative Templates | Printers | Web-based Printing) aktiviert sein, so wird die (bereits entfernte) Internet Printing ISAPI Erweiterung wieder hinzugefügt. Es sollte deshalb sichergestellt werden, dass diese Group Policy deaktiviert ist.

Weitere Information zu diesem Thema

Eeye Advisory Windows 2000 IIS 5.0 Remote buffer overflow vulnerability
Secure Internet Information Services 5 Checklist
RFC 2910 Internet Printing Protocol/1.1: Encoding and Transport
RFC 2911 Internet Printing Protocol/1.1: Model and Semantics

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=339