Abo
  • Services:

Bisher gravierendste Sicherheitslücke im MS IIS 4

Artikel veröffentlicht am ,

Dank einer neuentdeckten Sicherheitslücke in Microsofts Internet Information Server 4.0, der auf einem Großteil kommerzieller Webserver zu finden ist, soll es erfahrenen Hackern ein leichtes sein, auf selbigen beliebige Programme auszuführen und Daten zu modifizieren oder betroffene Webserver auch "nur" abstürzen zu lassen.

Stellenmarkt
  1. PFALZKOM | MANET, Ludwigshafen
  2. Vector Informatik GmbH, Regensburg

Die wohl bisher gravierendste Sicherheitslücke der Microsoft Webserver-Software wurde von der Firma eEye entdeckt, einem Entwickler für Internet-Sicherheitslösungen. Betroffen sein sollen zumindest alle Windows NT 4.0 Server mit installiertem Servicepack 3, 4 oder 5 und dem Internet Information Server 4.0 (IIS4).

Der IIS unterstützt verschiedene Dateitypen, die Server-seitig ausgeführt werden. Wenn ein Webseiten-Besucher auf diese Dateien zugreift, wird diese von einer entsprechenden Filter-DLL bearbeitet. Der entdeckte Schwachpunkt in IIS ist die ISM.DLL, die für das Verändern von Benutzer-Paßwörtern von außerhalb des Systems zuständig ist.

Die IIS Sicherheitslücke tritt zutage, wenn die ISM.DLL, die .htr Webdateien verwaltet, mit zu vielen Zeichen gefüttert wird. Der resultierende Speicherüberlauf (Buffer-Overflow) führt dazu, daß die ISM.DLL unsanft beendet wird und die überlaufenden, gesendeten Daten ins System gelangen. Normalerweise würde das zum Absturz des Webservers führen, doch mit etwas Geschick soll sich so ausführbarer Programmcode in fremde System einschleusen lassen, die einen direkten Zugriff auf selbiges ermöglichen.

Microsoft wurde von eEye über das Problem informiert und hat im Microsoft Security Bulletin (MS99-019) kurz nach dem Bekanntwerden des Problems eine erste Notlösung für betroffene Kunden veröffentlicht und versprochen, die "Malformed HTR Request Vulnerability" genannte Sicherheitslücke in den nächsten Tagen per Update zu schließen. Das ist auch dringend notwendig, denn eEye hat nicht nur die Sicherheitslücke ans Tageslicht gebracht, sondern auch ein Programm namens IIS Hack zur Demonstration veröffentlicht, das mit Sicherheit nicht nur Systemadministratoren zum Überprüfen der eigenen Webserver nutzen werden...

Es empfiehlt sich also sehr, Microsofts Rat zu befolgen und als Notlösung das Script Mapping für .HTR Dateien abzuschalten sowie des öfteren auf Microsofts Datensicherheits-Webseite unter www.microsoft.com/security nachzuschauen, ob ein Update verfügbar ist.



Anzeige
Spiele-Angebote
  1. 54,99€ mit Vorbesteller-Preisgarantie
  2. (u. a. Assassin's Creed Origins PC für 29€)
  3. 12,49€
  4. 59,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


Byton K-Byte - Bericht

Byton stellt in China den K-Byte vor.

Byton K-Byte - Bericht Video aufrufen
Elektromobilität: Regierung bremst bei Anspruch auf private Ladesäulen
Elektromobilität
Regierung bremst bei Anspruch auf private Ladesäulen

Die Anschaffung eines Elektroautos scheitert häufig an der fehlenden Lademöglichkeit am heimischen Parkplatz. Doch die Bundesregierung will vorerst keinen eigenen Gesetzesentwurf für einen Anspruch von Wohnungseigentümern und Mietern vorlegen.
Ein Bericht von Friedhelm Greis

  1. ID Buzz und Crozz Volkswagen will Elektroautos in den USA bauen
  2. PFO Pininfarina plant Elektrosupersportwagen mit 400 km/h
  3. Einride Holzlaster T-Log fährt im Wald elektrisch und autonom

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Künstliche Intelligenz Vages wagen
  2. KI Mit Machine Learning neue chemische Reaktionen herausfinden
  3. Elon Musk und Deepmind-Gründer Keine Maschine soll über menschliches Leben entscheiden

    •  /