Sicherheitsleck in Windows 2000 betrifft Microsofts IIS 5.0

Patch für die von Microsoft als kritisch eingestufte Sicherheitslücke erhältlich. In der WebDAV-Implementierung von Windows 2000 steckt ein Sicherheitsleck, worüber ein Angreifer auf einen damit verbundenen Internet Information Server (IIS) 5.0 zugreifen kann. Die Sicherheitslücke erlaubt die Ausführung beliebigen Programmcodes auf dem Server, so dass ein Angreifer weitreichende Kontrolle über das System erlangt. Microsoft bietet mittlerweile einen entsprechenden Patch zur Abhilfe an; das Sicherheitsrisiko durch den Programmfehler stuft Microsoft als kritisch ein.

18. März 2003 um 09:58 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Das in Windows 2000 integrierte WebDAV-Protokoll enthält einen ungeprüften Puffer, der es einem Angreifer erlaubt, über eine speziell formatierte HTTP-Anfrage Kontrolle über ein System zu erlangen, auf dem der Internet Information Server (IIS) von Microsoft läuft. Auf Windows 2002 Server und Advanced Server sind diese Komponenten standardmäßig installiert. Normalerweise stellt WebDAV lediglich HTTP-Erweiterungen für das Bearbeiten und die Verwaltung von Dateien zwischen Computern im Internet bereit.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Solution Architekt/-in (w/m/d) IT-Baden-Württemberg (BITBW), Stuttgart (öffnet im neuen Fenster)

IT Architect (m/w/d) SoftProject GmbH, Ettlingen (öffnet im neuen Fenster)

Ausbildung Fachinformatiker:in - Fachrichtung Systemintegration (gn) M3B GmbH, Bremen (öffnet im neuen Fenster)

Duales Studium BWL - Digital Commerce Management 2026 (m/w/d) Schwarz Corporate Solutions, Neckarsulm (öffnet im neuen Fenster)

IT-Experte für digitale Preisauszeichnung (ESL) (m/w/d) Schwarz IT, Weinsberg (öffnet im neuen Fenster)

Teamleiter*in Softwareentwicklung / Systemintegration (m/w/div) Deutsche Rentenversicherung Bund, Berlin (öffnet im neuen Fenster)

HW Engineer Flight Data Recorder (w/m/d) Hensoldt, Immenstaad (öffnet im neuen Fenster)

Sachbearbeiter/in (w/m/d) für den Bereich EDV Betreuung für das Amt für Familie, Kinder und Jugend Landkreis Tuttlingen, Tuttlingen (öffnet im neuen Fenster)

Aber über die Sicherheitslücke erhält ein Angreifer umfassende Kontrolle über das betreffende System, so dass beliebiger Programmcode innerhalb des Sicherheitsbereichs auf dem Server ausgeführt werden kann. Zudem lässt sich der Server über einen solchen Angriff gezielt zum Absturz bringen.

Das bereits am Montagabend bekannt gewordene Sicherheitsleck veranlasste die Uni Stuttgart, alle eingesetzten Internet Information Server vergangene Nacht abzuschalten, um einen Angriff auf das Uni-Netzwerk zu verhindern. Mittlerweile bietet Microsoft einen entsprechenden Patch(öffnet im neuen Fenster) unter anderem in deutscher Sprache zum Download an, der das Sicherheitsleck schließen soll.

Nachtrag vom 21. März 2003, 10:00 Uhr:
Ein Artikel auf NTBugtraq berichtet über einige Schwierigkeiten durch die Einspielung des Patches auf einigen Systemen. Nähere Informationen dazu gibt es in einer separaten Meldung .

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen