[MS/IIS] Umgehung von Sicherheitsrichtlinien durch .HTR-Webseiten
(2002-03-08 20:49:25+00)
Quelle:
http://cert.Uni-Stuttgart.DE/archive/bugtraq/2002/03/msg00113.htmlEntgegen Sicherheitsrichtlinien ist mittels .htr-Webseiten eine Änderung von Passwörtern möglich.
Betroffene Systeme
- Microsoft Windows NT 4.0 mit IIS-Webserver und
.htr-Webseiten - möglicherweise ist auch Windows 2000 mit installiertem IIS-Webserver und .HTR-Webseiten verwundbar
- möglicherweise sind weitere Produkte betroffen
Einfallstor
Zugriff auf .htr-Webseiten
Auswirkung
Änderung von Passwörtern entgegen Sicherheitsrichtlinien.
Typ der Verwundbarkeit
design flaw
Gefahrenpotential
niedrig bis mittel (falls mittels .htr-Webseiten Passwortänderungen möglich sind)
(Hinweise zur Einstufung des Gefahrenpotentials.)
Kontext
Der .htr-ISAPI-Filter des Microsoft IIS-Webservers erlaubt die webbasierte Änderung von Passwörtern. Bei der Standardinstallation des IIS-Webservers (bzw. des Windows 2000 Servers) wird der .htr-ISAPI-Filter aktiviert und .htr-Webseiten unter http://iisserver/iisadmpwd/ angelegt.
Beschreibung
Der ISAPI-Filter .htr berücksichtigt Sicherheitsrichtlinien, insbesondere die Richtlinie, dass eine Änderung des Passwortes nicht gestattet ist, nicht. Durch diesen Umstand ist es Benutzern möglich, unautorisiert ihr Passwort, entgegen einer Sicherheitsrichtlinie, zu ändern.
Workaround
Auf den ISAPI-Filter .htr sollte aus Sicherheitsgründen verzichtet werden, da bereits wiederholt Schwachstellen im ISAPI-Filter entdeckt wurden. Eine Deinstallationsanleitung finden Sie z.B. unter http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/fq00-044.asp
Gegenmaßnahmen
Bislang liegt keine Reaktion vor Microsoft vor.
Weitere Artikel zu diesem Thema:
- [MS/IIS] Patch für HTR-Funktionalität in Microsoft IIS 4.0/5.0 verfügbar (2001-01-30)
Für den Microsoft Internet Information Server (IIS) 4.0/5.0 ist ein Patch verfügbar, der eine Schwachstelle in den HTR Skripten beseitigt. - [MS/IIS] Eine Sicherheitslücke im IIS erlaubt die Betrachtung von Dateien (2001-01-09)
Durch eine Schwachstelle im Internet Information Server (IIS) können CGI-Skripte eingesehen werden.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=737