Web

Schon wieder Sicherheitslücken: IIS, Windows und SQL Server

13.06.2002

MÜNCHEN (COMPUTERWOCHE) - Die Sicherheitsprobleme in Microsoft-Software scheinen kein Ende zu nehmen. Nachdem der Hersteller erst gestern vor Fehlern im Internet Explorer und MSN-Chat gewarnt hatte (Computerwoche online berichtete), gibt es heute Warnungen für Windows NT, NT Terminal Edition, 2000 und XP, SQL Server 2000 sowie IIS 4.0 und 5.0 (Internet Information Server).

Die Windows-Versionen sind über den RAS-Dienst (Remote Access) verwundbar. Über ungeprüfte Speicherbereiche (Unchecked Buffer) in der Telefonbuch-Implementation lässt sich beliebiger Code ausführen. Voraussetzung ist laut Microsoft allerdings, dass der Angreifer die Möglichkeit hat, sich auf dem betroffenem System anzumelden. Beschreibungen des Fehlers für die einzelnen Systeme und Patches stehen zum Download bereit.

Ungeprüfte Speicherbereiche sind auch die Ursache für ein Leck in SQL Server 2000. Sie treten auf, wenn die Dateisuche über HTTP (Hypertext Tranfer Protocol) mittels SQL-XML aktiviert ist. Zum einen kann über Unchecked Buffer in der ISAPI-Erweiterung (Internet Services Application Programming Interface) beliebiger Code ausgeführt werden, zum anderen lassen sich über spezielle XML-Tags die Sicherheitseinstellungen des Servers umgehen. Microsoft stuft das Problem als nicht kritisch ein, da der Angreifer dazu die Adresse des SQL-Servers kennen und Anwender auf manipulierte Webseiten locken muss. Die HTTP-Suche ist standardmäßig nicht aktiviert. Dennoch empfiehlt der Hersteller, die bereitgestellten Patches einzuspielen.

Ebenfalls gering stuft Microsoft das Risiko eines Buffer-Overrun-Lecks (Speicherüberlauf) in den IIS-Versionen 4 und 5 ein. Wenn die Scripting-Technologie HTR aktiviert ist, können Hacker Programmcode überschreiben und den Server zum Absturz bringen. Rechner, auf denen das IIS Lockdown-Tool installiert ist, sind laut Microsoft nicht betroffen. Weitere Fehlerbehebungen und Dokumentationen gibt es in einem Security Bulletin. Auch ältere IIS-Versionen können von der Lücke betroffen sein, sie werden jedoch vom Hersteller nicht mehr unterstützt. (lex)