[MS/Windows 2000,Exchange 5.5] Fehlerhafte Authentifizierung im SMTP-Dienst
(2002-03-01 13:43:59+00)
Quelle:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-011.aspMicrosoft Windows 2000 mit installiertem SMTP-Dienst und Microsoft Exchange 5.5 Server weisen eine Schwachstelle auf, wodurch Angreifer über eine Netzverbindung unautorisierten Zugang zum SMTP-Dienst erlangen können um darüber beispielsweise Spam zu verbreiten.
Betroffene Systeme
- Microsoft Windows 2000
- Microsoft Exchange Server 5.5
Nicht betroffene Systeme
- Microsoft Exchange Server 2000
Einfallstor
SMTP (TCP-Port 25)
Auswirkung
Ein Angreifer kann über eine Netzwerkverbindung Benutzer-Privilegien auf dem SMTP-Dienst erlangen und darüber beispielsweise Spam verbreiten. Nach Angaben von Microsoft ist es einem Angreifer über diese Schwachstelle nicht möglich Programmcode auf dem beherbergenden System auszuführen oder die Mailboxen anderer Benutzer einzusehen.
Typ der Verwundbarkeit
authentication error
Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Der SMTP (Simple Mail Transfer Protocol)-Dienst wird standardmäßig auf Windows 2000 Servern und mit dem IMC (Internet Mail Connector) des Microsoft Exchange 5.5 Servers installiert. Beide Dienste weisen eine Schwachstelle bei der Authentifizierung auf, wodurch Angreifer unautorisierten Zugang zum SMTP-Dienst erlangen können um darüber beispielsweise E-Mails/Spam zu verbreiten.
Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung.
- Microsoft Windows 2000 Server, Professional und Advanced Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID= 36556 - Exchange Server 5.5:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=33423
Vulnerability ID
Weitere Information zu diesem Thema
- Microsoft Security Bulletin MS02-011 Authentication Flaw Could Allow Unauthorized Users To Authenticate To SMTP Service
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=722