RUS-CERT-443 – Archivierte Meldung

Meldung Nr: RUS-CERT-443

[MS/NNTP] Schwachstelle im NNTP Dienst erlaubt DoS Angriff
(2001-08-15 10:57:37+00)

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-043.asp

Eine Schwachstelle im NNTP (Network News Transport Protocol) Dienst von Windows NT 4.0 und Windows 2000 erlaubt einen Denial of Service (DoS) Angriff gegen den Server.

Betroffene Systeme

Microsoft Windows NT 4.0 (mit Option Pack)
Microsoft Windows 2000 Server
Microsoft Windows 2000 mit installiertem NNTP Dienst (Bestandteil des IIS)

Einfallstor
NNTP Server (Port 119)

Auswirkung
Denial of Service (DoS) Angriff

Typ der Verwundbarkeit
memory leak

Gefahrenpotential
niedrig bis mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Nach der Verarbeitung von mißgebildeten NNTP (Network News Transport Protocol) Postings gibt der NNTP Dienst unter Windows 2000 und Windows NT 4.0 nicht vollständig den reservierten Speicher frei. Durch das Absetzen einer großen Anzahl solcher NNTP-Postings an den Server wird nach und nach der gesamte Arbeitsspeicher des beherbergenden Rechners verbraucht und somit ein effektiver Denial of Service Angriff ermöglicht.
Verwundbar sind nur NNTP-Server, bei denen eine Konfiguration, das Postings akzeptiert werden, vorgenommen wurde. Die Standardkonfiguration des NNTP-Dienstes unter Windows 2000 bzw. NT 4.0, in der der Dienst zwar aktiv ist aber keine Postings annimmt und verarbeitet, ist nicht verwundbar.
Der NNTP-Dienst wird bei Windows 2000-Servern standardmäßig installiert. Die nicht benötigten Dienste (wie z.B. IIS) sollten bei der Installation jedoch deaktiviert werden.
Bei Windows NT 4.0 wird der NNTP Dienst als Bestandteil des Option Pack installiert.

Gegenmaßnahmen
Betreiber eines NNTP Dienstes sollten die Sicherheitsupdates installieren:

Windows NT 4.0 Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31955
Windows 2000 Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31925

Sollten Sie den NNTP Dienst nicht einsetzten, so sollte er (falls installiert) entfernt werden:

Systemsteuerung | Software | Windows Komponenten | Internet Information Services (IIS)

Es sei an dieser Stelle nochmals daran erinnert, daß der IIS Webserver ebenfalls bei einer Standardinstallation Windows 2000-Servern installiert und aktiviert wird. Sollten Sie diesen Webserver nicht verwenden, so ist anzuraten, diesen zu deinstallieren (bzw. deaktivieren).

Eine tabellarische Übersicht der Microsoft Windows Security Patches (engl. und dt.) mit Links zum Mirror der Security Patches auf dem ftp-Server der Universität Stuttgart befindet sich unter:

Windows NT 4.0:
http://cert.uni-stuttgart.de/winnt-updates.php
Windows 2000:
http://cert.uni-stuttgart.de/win2000-updates.php

Weitere Information zu diesem Thema

Microsoft Security Bulletin MS01-043 NNTP Service in Windows NT 4.0 and Windows 2000 Contains Memory Leak

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=443