[MS/IIS5.0] Patch für IIS 5.0 erzeugt neue Sicherheitslücke
(2000-11-28 11:35:12+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2000/11/msg00364.html
Falls der Micosoft Patch Q277873
in den Internet Information Services 5.0 installiert ist, läßt der Server die Ausführung beliebiger Kommandos durch die Formulierung entsprechender URLs zu.
Betroffene Systeme
IIS 5.0 mit Patch Q277873
, wobei der Patch das Problem darstellt
Beschreibung
Microsoft hatte am 2000-11-06 mit dem Microsoft Security Bulletin (MS00-086) den Patch Q277873
zur Behebung einer Sicherheitslücke in den IIS5.0 herausgegeben. Die Lücke, die dieser Patch behebt, läßt durch einen Fehler in der Implementierung des IIS-Features, "valid requests for an executable file" zu akzeptieren und an das Betriebssystem zur Bearbeitung zu übergeben, die Ausführung beliebiger Kommandos mit entsprechend formulierten URLs auf dem Serverhost zu.
Im Georgi Guninski security advisory #30, 2000 beschreibt nun der Autor, daß dieser Patch eine weitere Sicherheitslücke öffnet, die die Ausführung beliebiger Kommandos durch die Formulierung eines entsprechenden URL auf dem Serverhost zuläßt.
Gefahrenpotential
hoch
Gegenmaßnahmen
Deinstallation des Patches Q277873
. Beachten Sie bitte, daß IIS damit aber wieder die bereits am 2000-11-06 beschriebene Sicherheitslücke besitzt. Georgi Guninski geht davon aus, daß diese Sicherheitslücke weniger gravierend ist, als die neue, durch den Patch erzeugte.
Alternativ sollte bei sensitiven Diensten die Abschaltung der IIS5.0 erwogen werden, da der Server im Augenblick nicht sicher betrieben werden kann.
Weitere Artikel zu diesem Thema:
- [MS/IIS5.0] Patch für das Q277873-Problem verfügbar (2000-12-01)
Zur Behebung der Sicherheitslücke, die durch das Einfahren des PatchesQ277873
in die IIS5.0 entstanden war, hat Microsoft einen weiteren Patch herausgebracht. - [MS/IIS5.0] IIS 5.0 haben neues, ernstes Sicherheitsloch (UPDATE) (2000-11-07)
Die Microsoft Internet Information Services (IIS) haben ein Sicherheitsloch, das Angreifern remote access zum Serverhost erlaubt.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=37