Abo
  • Services:
Anzeige

Bisher gravierendste Sicherheitslücke im MS IIS 4

Anzeige

Dank einer neuentdeckten Sicherheitslücke in Microsofts Internet Information Server 4.0, der auf einem Großteil kommerzieller Webserver zu finden ist, soll es erfahrenen Hackern ein leichtes sein, auf selbigen beliebige Programme auszuführen und Daten zu modifizieren oder betroffene Webserver auch "nur" abstürzen zu lassen.

Die wohl bisher gravierendste Sicherheitslücke der Microsoft Webserver-Software wurde von der Firma eEye entdeckt, einem Entwickler für Internet-Sicherheitslösungen. Betroffen sein sollen zumindest alle Windows NT 4.0 Server mit installiertem Servicepack 3, 4 oder 5 und dem Internet Information Server 4.0 (IIS4).

Der IIS unterstützt verschiedene Dateitypen, die Server-seitig ausgeführt werden. Wenn ein Webseiten-Besucher auf diese Dateien zugreift, wird diese von einer entsprechenden Filter-DLL bearbeitet. Der entdeckte Schwachpunkt in IIS ist die ISM.DLL, die für das Verändern von Benutzer-Paßwörtern von außerhalb des Systems zuständig ist.

Die IIS Sicherheitslücke tritt zutage, wenn die ISM.DLL, die .htr Webdateien verwaltet, mit zu vielen Zeichen gefüttert wird. Der resultierende Speicherüberlauf (Buffer-Overflow) führt dazu, daß die ISM.DLL unsanft beendet wird und die überlaufenden, gesendeten Daten ins System gelangen. Normalerweise würde das zum Absturz des Webservers führen, doch mit etwas Geschick soll sich so ausführbarer Programmcode in fremde System einschleusen lassen, die einen direkten Zugriff auf selbiges ermöglichen.

Microsoft wurde von eEye über das Problem informiert und hat im Microsoft Security Bulletin (MS99-019) kurz nach dem Bekanntwerden des Problems eine erste Notlösung für betroffene Kunden veröffentlicht und versprochen, die "Malformed HTR Request Vulnerability" genannte Sicherheitslücke in den nächsten Tagen per Update zu schließen. Das ist auch dringend notwendig, denn eEye hat nicht nur die Sicherheitslücke ans Tageslicht gebracht, sondern auch ein Programm namens IIS Hack zur Demonstration veröffentlicht, das mit Sicherheit nicht nur Systemadministratoren zum Überprüfen der eigenen Webserver nutzen werden...

Es empfiehlt sich also sehr, Microsofts Rat zu befolgen und als Notlösung das Script Mapping für .HTR Dateien abzuschalten sowie des öfteren auf Microsofts Datensicherheits-Webseite unter www.microsoft.com/security nachzuschauen, ob ein Update verfügbar ist.


eye home zur Startseite

Anzeige

Stellenmarkt
  1. ING-DiBa AG, Nürnberg, Frankfurt
  2. SmartRay GmbH, Wolfratshausen
  3. stoba Präzisionstechnik GmbH & Co. KG, Backnang (nahe Stuttgart)
  4. Rohde & Schwarz Cybersecurity GmbH, Darmstadt


Anzeige
Top-Angebote
  1. 14,99€ + 1,99€ Versand (für alle die kein NES Classic ergattern konnten)
  2. für 8,88€ kaufen + 25% Rabatt auf Teil 2 sichern!
  3. (-67%) 19,99€

Folgen Sie uns
       

  1. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  2. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  3. id Software

    Quake Champions startet in den Early Access

  4. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  5. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust

  6. Open Source Projekt

    Oracle will Java EE abgeben

  7. Apple iPhone 5s

    Hacker veröffentlicht Secure-Enclave-Key für alte iPhones

  8. Forum

    Reddit bietet native Unterstützung von Videos

  9. Biomimetik

    Drohne landet kontrolliert an senkrechter Wand

  10. Schifffahrt

    Yara Birkeland wird der erste autonome E-Frachter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Amazon.com sendet nach Deutschland

    HabeHandy | 16:43

  2. Re: Rechtssystem untergraben

    der_wahre_hannes | 16:42

  3. Egoshooter heutzutage nicht mehr spielbar.

    BossVonFelsberg | 16:41

  4. Re: Die Menschen schauen gerne in die...

    nille02 | 16:40

  5. Re: Sie wird elektrisch angetrieben, fährt also...

    zZz | 16:38


  1. 16:20

  2. 15:30

  3. 15:07

  4. 14:54

  5. 13:48

  6. 13:15

  7. 12:55

  8. 12:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel