scip AG

• Firma
• News
• Dienstleistungen
• Publikationen

VulDB: Microsoft FrontPage Server Extensions Remote-Debug Pufferüberlauf

Allgemein

scipID: 386
Betroffen: Microsoft FrontPage Server Extensions 2000 und 2002
Veröffentlicht: 11.11.2003 (Brett Moore, Security-Assessment)
Risiko: sehr kritisch

Beschreibung

Die Microsoft FrontPage Server Extensions sind ein Zusatz für Webserver, vorzugsweise den MS IIS, mit deren Hilfe die Administration erleichtert und teilweise automatisiert werden kann. Brett Moore der Firma Security-Assessment fand einen Pufferüberlauf in der DLL für das Remote-Debugging. Neben Denial of Service sind dabei auch das Ausführen beliebigen Programmcodes mit den Rechten des Webservers möglich. Ein Exploit wurde Tage später an diversen Stellen (z.B. SecurityFocus) veröffentlicht. Die Sicherheitslücke betrifft Microsoft FrontPage Server Extensions 2000 und 2002 auf dem MS IIS 5.x. Davon ausgenommen sind Windows-2000-Systeme mit installiertem Service Pack 4. Microsoft wurde frühzeitig über den Pufferüberlauf informiert und hat mit einem Patch reagiert.

Da viele Web-Administratoren von IIS-Webservern die FrontPage Server Extensions installieren, vor allem im kommerziellen Webhosting-Bereich keine Seltenheit, wird diese Angriffsmöglichkeit für so manchen Angreifer interessant. Sowohl Skript-Kiddies als auch Cracker werden die neue Möglichkeit gerne ausprobieren und zu ihrem Vorteil nutzen wollen. Es ist nur eine Frage der Zeit, bis ein handlicher Exploit das Ausnutzen der Schwachstelle für jeden möglich macht.

Exploiting

Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja

Exploit: http://www.securityfocus.com/bid/9007/exploit/
Milw0rm: –
Nessus: –
ATK: –

Gegenmassnahmen

Status: Es wurde ein Patch herausgegeben.
Bestätigung: –

Massnahme: Den freigegebenen Patch einspielen.
Link: http://www.microsoft.com/technet/security/bulletin/MS03-051.asp

Snort: 6410 (WEB-FRONTPAGE frontpage server extension long host string overflow attempt)
Pattern: fp30reg.dll

Quellen

Advisory: http://www.microsoft.com/technet/security/bulletin/MS03-051.asp

CVE: CVE-2003-0822
OSVDB: –
Securityfocus: 9007
Secunia: 10195
X-Force: 13674
Securitytracker: –
VUPEN: –
Securiteam: http://www.securiteam.com/windowsntfocus/6M00B0K8UE.html

Tecchannel: 1449
Heise: dab-12.11.03-000
smSS: smSS 19. November 2003
Andere: http://www.securityfocus.com/archive/1/344221
Andere: http://www.scip.ch/?vuldb.387
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)

Übersicht Schwachstellen

• Letzte Einträge
  • Cisco IOS TCP Connection Handling Denial of Service
  • Adobe ColdFusion Directory Traversal Schwachstelle
  • Microsoft Windows Tracing Feature for Services Privilege Escalation
  • Microsoft Windows MPEG Layer-3 Audio Decoder Pufferüberlauf
  • Microsoft Windows SMB Server verschiedene Schwachstellen
• Statistiken
  • Übersicht
  • Produkte
  • Reference Maps
• Archiv
  • 2010
  • 2009
  • 2008
  • 2007
  • 2006
  • 2005
  • 2004
  • 2003
• Syndication
  • Alert System
  • RSS
  • Twitter