Microsoft hat drei neue Security Bulletins veröffentlicht. Diese richten sich großteils an Web-Server-Administratoren und sollen eine Reihe von Sicherheitslücken schließen.

Heap Ovverun im HTR chunked encoding kann zur Gefährdung des Web Server führen

Der Microsoft Security Bulletin MS02-028 betrifft Benutzer, die Web Server auf Microsoft Windows NT 4.0 oder Windows 2000 laufen haben.

Empfohlene Vorgangsweise

Benutzern, die HTR für Geschäftskritische Anwendungen benötigen, wird die Installation des Patches unbedingt empfohlen. Alle anderen Benutzer sollten HTR deaktivieren.

Beschreibung des Problems

Dieser Patch beseitigt ein neu entdecktes Problem, das Internet Information Services betreffen. Obwohl Microsoft für IIS nur kumulative Patches veröffentlicht, wurde hier ein separater Patch für dieses neue Probleme vorgezogen, ein kumulativer Patch ist in Arbeit.

Es besteht ein Problem, da ein Pufferüberlauf in den Chunked Encoding Daten Transfer Mechanismen im IIS 4.0 und IIS 5.0, der dazu verwendet werden kann, einen Überlauf im Heap Speicher herbeizuführen und so IIS entweder zum Versagen zu bringen oder Code auf dem Server auszuführen. Der Unterschied zu den bereits entdeckten Problemen ist, das die neu entdeckten innerhalb der ISAPI Erweiterungen, die HTR bereitstellen bestehen, die bereits vorhwer entdeckten lagen innerhalb der ISAPI Erweiterungen, die ASP bereitstellen.

Ungeprüfter Speicherpuffer im Remote Access Service Telefonbuch kann zur Ausführung von Code führen

Der Microsoft Security Bulletin MS02-029 betrifft Benutzer von Microsoft Windows NT, Windows 2000 und Windows XP.

Empfohlene Vorgangsweise

Administratoren sollten auf Systemen, auf denen es unprivilegierten Benutzern erlaubt wird interaktiv einzuloggen, wie zum Beispiel auf Workstations und Terminal Server den Patch installieren.

Beschreibung des Problems

Das Remote Access Service (RAS) erlaubt Einwahlverbindungen zwischen Computern und Netzwerken über gebräuchliche Kommunikationsprotokolle. RAS ist standardmässig in Windows NT 4.0, Windows 2000 und WIndows XP enthalten und auch im separat downloadbaren Routing and Remote Access Server (RRAS) für Windows NT 4.0 enthalten. Alle diese implementationen enthalten das RAS Telefonbuch um Informationen über Telefonnummern, Sicherheit und Netzwerkeinstellungen zu speichern, die verwendet werden, um Remote-Systeme anzuwählen.

Ein Problem existiert im RAS Telefonbuch, da ein Wert innerhalb des Telefonbuchs nicht korrekt überprüft wird und dadurch ein Pufferüberlauf entstehen könnte. Dieser Überlauf könnte einerseits verwendet werden um das System zum versagen zu bringen, andererseits kann dies aber auch benutzt werden, um Code auf dem System mit Lokalen System Privilegien auszuführen. Gelingt es nun einem Angreifer, sich an solch einem Server anzumelden und einen Telefonbucheintrag mit speziell veränderten Daten zu ändern kann, sobald eine Verbindung mit diesen Daten hergestellt wird, darin enthaltener Code ausgeführt werden.

Ungeprüfter Speicherpuffer in SQLXML kann zur Ausführung von Code führen

Last but not least – der Microsoft Security Bulletin MS02-030, dieser betrifft Administratoren, die den SQL Server 2000 benutzen.

Empfohlene Vorgangsweise

Administratoren, die SQLXML und Datenanfragen über HTTP aktiviert haben, sollten den Patch installieren.

Beschreibung des Problems

SQLXML erlaubt das senden von XLM Daten an einen SQL Server 2000 sowie das empfangen derselben. Datenbankanfragen können als XML Dokumente retourniert werden, und so leicht gespeichert oder weitergegeben werden. Durch SQLXML ist es möglich, auf den SQL Server mittels XML über den Webbrowser mittels HTTP zuzugreifen,

Es bestehen 2 Probleme in diesem Zusammenhang: Ein ungeprüfter Speicherpuffer betrifft eine ISAPI-Erweiterung, durch den es einem Angreifer unter Umständen möglich ist, Code auf dem Microsoft Information Services (IIS) Server auszuführen. Das zweite Problem besteht in einer Funktion die XML Tags spezifiziert, durch das einem Angreifer möglich sein kann, Skripts in der Sicherheitszone des Computerbenutzers auszuführen. So kann zum Beispiel ein Skript in der Intranet anstatt der Internet Zone ausgeführt werden.

Weitere Details zu verschiedensten Security Informationen erhalten Sie auch unter Technet und Microsoft Security.(red)