[MS,Cisco/Generic] Pufferüberlaufschwachstelle im Network Share Provider (SMB)
(2002-09-19 16:10:53.712472+00)
Quelle:
http://cert.uni-stuttgart.de/archive/ms/2002/08/msg00005.htmlDie Implementierung des Server Message Block (SMB) Protokoll in Microsoft Windows und verschiedenen Cisco-Produkten weist eine Pufferüberlaufschwachstelle auf.
Betroffene Systeme
- Microsoft Windows NT 4.0 Workstation
- Microsoft Windows NT 4.0 Server
- Microsoft Windows NT 4.0 Server, Terminal Sever Edition
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Advanced Server
- Windows XP Professional
- Cisco CallManager
- Cisco ICS 7750
- zahlreiche Cisco-Produkte die auf Microsoft-Plattformen eingesetzt werden können
Einfallstor
SMB-Verbindung (TCP-Port 139 und 445)
Auswirkung
Denial of Service (DoS), möglicherweise Ausführung von beliebigem Programmcode
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
mittel bis sehr hoch (insbesondere falls die Ausführung von Programmcode möglich sein sollte)
(Hinweise zur Einstufung des Gefahrenpotentials.)
Kontext
Microsoft nutzt das Server Message Block (SMB)-Protokoll, um Resourcen wie Dateien (bzw. Festplattenplatz) und Drucker über das Netzwerk zur Verfügung zu stellen.
Beschreibung
Der SMB-Dienst weist eine Pufferüberlaufschwachstelle auf, wodurch zumindest authentifizierte Benutzer mittels einer speziell präparierten SMB-Anfrage Systeme lahmlegen können (Denial of Service), sowie unter Umständen beliebigen Programmcode ausführen können. Standardmäßig ist dieser Angriff auch mit einer Anonymous-Verbindung (Null-Session) möglich, sofern der Anonymous-Zugriff nicht explizit eingeschränkt wurde.
Workaround
- Filterung von SMB-Anfragen (TCP-Port 445 und 139), wodurch keine Datei- und Druckfreigaben mehr zur Verfügung stehen.
- Deaktivierung des Lanman-Server-Dienstes, wodurch keine Datei- und Druckfreigaben mehr zur Verfügung stehen.
- Einschränkung des Anonymous-Zugriffs (siehe Q143474, Q246261) - dieser Workaround schränkt lediglich die Zahl der möglichen Angreifer ein.
Gegenmaßnahmen
Microsoft/Cisco stellen Patches zur Verfügung:
- Microsoft Windows NT 4.0:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=41493 - Microsoft Windows NT 4.0 Terminal Server Edition:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=41519 - Microsoft Windows 2000:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=41468 - Microsoft Windows XP:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=41524 - Microsoft Windows XP 64 bit Edition:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=41549 - Cisco CallManager
http://www.cisco.com/ - Cisco ICS 7750
http://www.cisco.com/
Vulnerability ID
Weitere Information zu diesem Thema
- Microsoft Security Bulletin MS02-045 Unchecked Buffer in Network Share Provider Can Lead to Denial of Service (Q326830)
- Vulnerability report for Windows SMB DoS (Corelab)
- Cisco Security Advisory: Microsoft Windows SMB Denial of Service Vulnerabilities in Cisco Products - MS02-045
Revisionen dieser Meldung
- V.1.0 (2002-08-23)
- V.2.0 (2002-09-19) Cisco-Advisory hinzugefügt - Betroffen sind von der beschriebenen Schwachstelle ebenfalls der Cisco CallManager als auch Cisco ICS 7750.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=937