Microsoft: Fehlerhafter Patch am November-Patch-Day

Deutschsprachiger Patch für ISA-Server 2000 wurde aktualisiert

Wie Microsoft mitteilt, enthielt der vor zwei Tagen bereit gestellte Patch für den ISA-Server 2000 einen Fehler, der allerdings nur die deutschsprachige Version des Patches betrifft. Die erste Version des Patches ließ sich nur auf dem ISA-Server 2000 mit Service Pack 2 installieren, obwohl es auch mit Service Pack 1 möglich sein sollte. Dieser Fehler wurde nun durch einen aktualisierten Patch behoben.

Artikel veröffentlicht am ,

Das Sicherheitsloch im Internet Security and Acceleration Server (ISA-Server) 2000 und in Microsofts Proxy Server 2.0 kann für Spoofing-Angriffe missbraucht werden. Ein Fehler beim Zwischenspeichern von Ergebnissen des Reverse-Lookups führt dazu, dass ein Angreifer ein Opfer auf eine manipulierte Webseite schleusen kann, während das Opfer annimmt, auf vertrauenswürdige Inhalte zuzugreifen. Darüber lassen sich im schlimmsten Fall Zugangsdaten, Kennwörter oder andere vertrauliche Daten abfangen.

Stellenmarkt
  1. SAP BW/BI Berater (m/w/x)
    über duerenhoff GmbH, Essen
  2. SAP WM/EWM Berater (m/w/x)
    über duerenhoff GmbH, Frankfurt am Main
Detailsuche

Im DNS stellt ein Reverse-Lookup einen Abfragevorgang dar, mit dem die IP-Adresse eines Hostcomputers nach seinem angezeigten DNS-Domänennamen durchsucht wird. Zur Ausnutzung dieser Sicherheitslücke muss ein Angreifer seine Opfer lediglich auf eine Webseite leiten, die einen Reverse-Lookup ausführen. Dabei legt der Proxy- und ISA-Server einen Cache an, worüber das geschilderte Angriffsszenario möglich wird. Deaktiviert man den DNS-Cache, indem dieser auf null gesetzt wird, kann das Sicherheitsrisiko umgangen werden. Ein Spoofing von SSL-Zertifikaten erlaubt das gefundene Sicherheitsloch nicht.

Der überarbeitete deutschsprachige Patch für den ISA-Server 2000 mit Service Pack 1 steht nun zum Download bereit. Der erste Patch ließ sich bereits auf den ISA-Server 2000 mit Service Pack 2 sowie den Proxy Server 2.0 installieren, so dass hier nicht nochmals Hand angelegt werden muss. Der ISA-Server 2004 ist von dem Sicherheitsloch nicht betroffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


sausi 12. Nov 2004

In den diversen Foren (zum Beispiel hier: http://support.microsoft.com/newsgroups...

MARO 12. Nov 2004

Bei mir hat der fehlerhafte Patch gleich folgende weitere folgenschwere Auswirkungen...

Hotohori 11. Nov 2004

Es ist halt Microsoft, inzwischen dürfte man sich da ja über gar nichts mehr wundern...

juiil 11. Nov 2004

Die Nasen bekommen echt gar nix auf die Reihe.

c.b. 11. Nov 2004

Independence-Day (Halloween war ja schon). gruss c.b.



Aktuell auf der Startseite von Golem.de
Von Cubesats zu Disksats
Satelliten als fliegende Scheiben

Leichte und billige Satelliten, die auch zu Mond und Mars fliegen können: Aerospace Corp hat den neuen Standardformfaktor Disksats entwickelt.
Von Frank Wunderlich-Pfeiffer

Von Cubesats zu Disksats: Satelliten als fliegende Scheiben
Artikel
  1. Umweltfreundlicher Sattelschlepper: Iveco und Nikola starten E-Lastwagen-Produktion in Ulm
    Umweltfreundlicher Sattelschlepper
    Iveco und Nikola starten E-Lastwagen-Produktion in Ulm

    Die Nikola-Zugmaschine Tre mit Elektroantrieb soll zunächst für den US-Markt gefertigt werden, später auch für Europa.

  2. Code-Hoster: Gitlab will offiziell an die Börse
    Code-Hoster
    Gitlab will offiziell an die Börse

    Der Betreiber und Ersteller der Code-Hosting-Plattform Gitlab zeigt in seinem Börsenprospekt ein massives Wachstum.

  3. Full Self Driving: Tesla-Fahrer dürfen Beta nur bei Wohlverhalten nutzen
    Full Self Driving
    Tesla-Fahrer dürfen Beta nur bei Wohlverhalten nutzen

    Die Testversion des Full-Self-Driving-Pakets sollen nur Tesla-Fahrer nutzen dürfen, deren Fahrverhalten einwandfrei ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance LPX DDR4-3200 16 GB 63,74€ und 32 GB 108,79€ • Alternate (u. a. Creative SB Z SE 71,98€, Kingston KC2500 2 TB 181,89€ und Recaro Exo Platinum 855,99€) • Breaking Deals mit Club-Rabatten • ASUS ROG Crosshair VIII Hero WiFi 269,99€ • iPhone 13 vorbestellbar [Werbung]
    •  /