[MS/Macromedia JRun,IIS] Schwachstelle im ISAPI-Filter von Macromedia JRun
(2002-05-31 09:19:26.973099+00)
Quelle:
http://cert.Uni-Stuttgart.DE/archive/bugtraq/2002/05/msg00268.htmlDie Macromedia ISAPI-Erweiterung "JRun" weist eine Pufferüberlaufschwachstelle auf, durch die Angreifer beliebigen Programmcode auf dem beherbergenden System ausführen können.
Betroffene Systeme
- Macromedia JRun 3.0/3.1
Nicht betroffene Systeme
- Macromedia JRun 4
Einfallstor
HTTP-Anfrage
Auswirkung
Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien
(remote host compromise)
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Kontext
Bei der Installation von Macromedia JRun wird der ISAPI-Filter bzw. die Applikation jrun.dll im Web-Verzeichnis /scripts (z.B. C:\InetPub\scripts\jrun.dll) angelegt. Diese DLL fungiert bei Verwendung eines Microsoft IIS Webservers als ISAPI-Erweiterung und wird zur Verarbeitung von .JSP-Dateien verwendet. Die JRun-DLL kann auch direkt aufgerufen werden und fungiert dann als Applikation.
Beschreibung
Durch eine Pufferüberlaufschwachstelle im ISAPI-Filter "JRun", Bestandteil von Macromedias JRun, können Angreifer beliebigen Programmcode mit SYSTEM-Privilegien auf dem beherbergenden System ausführen. Wird JRun auf einem Webserver wie Microsoft IIS eingesetzt, kann diese Schwachstelle über eine Netzwerkverbindung ausgenutzt werden.
Gegenmaßnahmen
Macromedia stellt Patches zur Verfügung.
- JRun 3.1: http://download.allaire.com/publicdl/en/jrun/31/jrun-31-win-upgrade-us_26414.exe (engl.)
- JRun 3.0: http://download.allaire.com/publicdl/en/jrun/30/jr30sp2_25232.exe (engl.)
Vulnerability ID
- CERT/CC VU#703835
Weitere Information zu diesem Thema
- MPSB02-02-Patch Available for ISAPI buffer overflow in JRun 3.0/3.1
- NGSSoftware Insight Security Research Advisory Macromedia JRUN Buffer overflow vulnerability
- CERT/CC Advisory CA-2002-14 Buffer overflow in Macromedia JRun
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=827