• IT-Karriere:
  • Services:

Bisher gravierendste Sicherheitslücke im MS IIS 4

Artikel veröffentlicht am ,

Dank einer neuentdeckten Sicherheitslücke in Microsofts Internet Information Server 4.0, der auf einem Großteil kommerzieller Webserver zu finden ist, soll es erfahrenen Hackern ein leichtes sein, auf selbigen beliebige Programme auszuführen und Daten zu modifizieren oder betroffene Webserver auch "nur" abstürzen zu lassen.

Stellenmarkt
  1. Paulmann Licht GmbH, Springe
  2. nexible GmbH, Düsseldorf

Die wohl bisher gravierendste Sicherheitslücke der Microsoft Webserver-Software wurde von der Firma eEye entdeckt, einem Entwickler für Internet-Sicherheitslösungen. Betroffen sein sollen zumindest alle Windows NT 4.0 Server mit installiertem Servicepack 3, 4 oder 5 und dem Internet Information Server 4.0 (IIS4).

Der IIS unterstützt verschiedene Dateitypen, die Server-seitig ausgeführt werden. Wenn ein Webseiten-Besucher auf diese Dateien zugreift, wird diese von einer entsprechenden Filter-DLL bearbeitet. Der entdeckte Schwachpunkt in IIS ist die ISM.DLL, die für das Verändern von Benutzer-Paßwörtern von außerhalb des Systems zuständig ist.

Die IIS Sicherheitslücke tritt zutage, wenn die ISM.DLL, die .htr Webdateien verwaltet, mit zu vielen Zeichen gefüttert wird. Der resultierende Speicherüberlauf (Buffer-Overflow) führt dazu, daß die ISM.DLL unsanft beendet wird und die überlaufenden, gesendeten Daten ins System gelangen. Normalerweise würde das zum Absturz des Webservers führen, doch mit etwas Geschick soll sich so ausführbarer Programmcode in fremde System einschleusen lassen, die einen direkten Zugriff auf selbiges ermöglichen.

Microsoft wurde von eEye über das Problem informiert und hat im Microsoft Security Bulletin (MS99-019) kurz nach dem Bekanntwerden des Problems eine erste Notlösung für betroffene Kunden veröffentlicht und versprochen, die "Malformed HTR Request Vulnerability" genannte Sicherheitslücke in den nächsten Tagen per Update zu schließen. Das ist auch dringend notwendig, denn eEye hat nicht nur die Sicherheitslücke ans Tageslicht gebracht, sondern auch ein Programm namens IIS Hack zur Demonstration veröffentlicht, das mit Sicherheit nicht nur Systemadministratoren zum Überprüfen der eigenen Webserver nutzen werden...

Es empfiehlt sich also sehr, Microsofts Rat zu befolgen und als Notlösung das Script Mapping für .HTR Dateien abzuschalten sowie des öfteren auf Microsofts Datensicherheits-Webseite unter www.microsoft.com/security nachzuschauen, ob ein Update verfügbar ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

Folgen Sie uns
       


Peloton - Fazit

Im Video stellt Golem.de-Redakteur Peter Steinlechner das Bike+ von Peloton vor. Mit dem Spinning-Rad können Sportler fast schon ein eigenes Fitnessstudio in ihrer Wohnung einrichten.

Peloton - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /