Microsoft behebt mit einem Sammelpatch für den Microsoft Internet Information Server (IIS) zehn neue, gravierende Schwachstellen. Einige dieser Schwachstellen ermöglichen einem Angreifer über eine Netzwerkverbindung die Ausführung von beliebigem Programmcode auf dem beherbergenden Rechnersystem. Der Sammelpatch beinhaltet ferner die meisten bisherigen Sicherheitsupdates für den IIS.

Betroffene Systeme

• Microsoft Internet Information Server (IIS) 4.0
• Microsoft Internet Information Services (IIS) 5.0
• Microsoft Internet Information Services (IIS) 5.1
• Microsoft Internet Information Services (IIS) 6.0 (incl. Build 3605)

Einfallstor
HTTP-Anfragen an den IIS-Server (1. - 6., 8. - 10.), FTP-Verbindungen zum IIS-Server (7.)

Auswirkung
Mehrere der Schwachstellen ermöglichen die Kompromittierung des Webservers.

Typ der Verwundbarkeit
buffer overflow bug (1. - 5.), denial of service (6., 7.), cross-site scripting (8. - 10.)

Gefahrenpotential
mittel bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Ein neuer Sammelpatch behebt zehn bislang nicht veröffentlichte Sicherheitslücken im Microsoft IIS. Ferner beinhaltet dieser Sammelpatch die meisten bislang veröffentlichten Sicherheitsupdates für den IIS sowie einige nicht sicherheitsrelevante Updates. Eine Auflistung der Bestandteile des Sammelpatches entnehmen sie z.B. http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q319733.

1. Es exisitiert ein Pufferüberlauffehler im chunked encoding Transfer der Active Server Pages (ASP)-ISAPI-Erweiterung (asp.dll). Ein Angreifer kann über diese Schwachstelle beliebigen Programmcode auf dem beherbergenden Rechnersystem über eine Netzwerkverbindung ausführen. Der Programmcode wird bei IIS 4.0 mit SYSTEM-Privilegien, bei IIS 5.0 mit IWAM_computername-Privilegien ausgeführt. Die ASP-ISAPI-Erweiterung ist standardmäßig auf IIS-Servern aktiviert.
2. Es wird über eine weitere, nicht näher beschriebene Schwachstelle in der ASP-ISAPI-Erweiterung (für den Daten-Transfer) berichtet. Von dieser Schwachstelle ist nach Angaben von Microsoft auch IIS 5.1 betroffen. Über diese Schwachstelle kann ein Angreifer beliebigen Programmcode auf dem beherbergenden Rechnersystem ausführen.
3. Durch eine Pufferüberlauf-Schwachstelle bei der Verarbeitung von HTTP-Header-Informationen kann ein Angreifer, falls ASP aktiviert ist, Programmcode auf dem beherbergenden Rechnersystem ausführen. Der Programmcode wird bei IIS 4.0 mit SYSTEM-Privilegien, bei IIS 5.0/5.1 mit IWAM_computername-Privilegien ausgeführt.
4. Eine Pufferüberlauf-Schwachstelle in ASP Server-Side-Includes ermöglicht einem Angreifer die Ausführung von Programmcode auf dem beherbergenden System. Der Programmcode wird bei IIS 4.0 mit SYSTEM-Privilegien, bei IIS 5.0 mit IWAM_computername-Privilegien ausgeführt.
5. Die HTR-ISAPI-Erweiterung weist eine Pufferüberlauf-Schwachstelle auf, durch die ebenfalls beliebiger Programmcode mit den Privilegien des IWAM_computername Account ausgeführt werden kann.
6. Probleme bei der Handhabung von ISAPI-Filtern, welche DoS-Angriffe ermöglichen können. Bekannt sind derzeit Schwachstellen in den Front Page Server Extensions (FPSE) und ASP.NET.
7. Der FTP-Dienst ist von einer Denial of Service-Schwachstelle betroffen.
8. bis 10. Drei cross-site-scripting-Schwachstellen, die teilweise auch die Standardfehlerseite betreffen und so allgemein vorhanden sind.

Gegenmaßnahmen
Installation der von Microsoft zur Verfügung gestellten Patches:

• Microsoft IIS 4.0:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37931
  Hinweis: Der Sammelpatch für den IIS 4.0 beinhaltet nicht alle Sicherheitsupdates für den IIS 4.0. Eine Auflistung der notwendigen Sicherheitsupdates für Windows NT 4.0 (und den IIS 4.0) entnehmen sie bitte http://CERT.Uni-Stuttgart.DE/winnt-updates.php
• Microsoft IIS 5.0:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37824
• Microsoft IIS 5.1:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37857

Hinweis: Es liegen Berichte vor, wonach durch die Installation des Sammelpatches Probleme auftreten können. Microsoft hat bislang Probleme im Zusammenspiel mit dem Microsoft Site Server bestätigt.

Vulnerability ID

1. CAN-2002-0079 Buffer overrun in Chunked Encoding mechanism
2. CAN-2002-0147 Microsoft-discovered variant of Chunked Encoding buffer overrun
3. CAN-2002-0150 Buffer Overrun in HTTP Header handling
4. CAN-2002-0149 Buffer Overrun in ASP Server-Side Include Function
5. CAN-2002-0071 Buffer overrun in HTR ISAPI extension
6. CAN-2002-0072 Access violation in URL error handling
7. CAN-2002-0073 Denial of service via FTP status request
8. CAN-2002-0074 Cross-site Scripting in IIS Help File search facility
9. CAN-2002-0148 Cross-site Scripting in HTTP Error Page
10. CAN-2002-0075 Cross-site Scripting in Redirect Response message

Weitere Information zu diesem Thema

• eEye Advisory Windows 2000 and NT4 IIS .ASP Remote Buffer Overflow
• Bugtraq IIS allows universal CrossSiteScripting
• Bugtraq @stake advisory: .htr heap overflow in IIS 4.0 and 5.0
• Cgi Security Advisory #9 Netware Web Search Engine, and Microsoft IIS Help File Search Facility Cross Site Scripting Holes

Weitere Artikel zu diesem Thema:

• [Cisco/Generic] Cisco-Produkte von den jüngst veröffentlichten IIS-Schwachstellen betroffen (2002-04-18)
  Zahlreiche Cisco-Produkte sind von den jüngst veröffentlichten Sicherheitslücken im Microsoft IIS betroffen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/