Web

Microsoft stopft Lecks in BizTalk Server und korrigiert Windows-Patch

02.05.2003

MÜNCHEN (COMPUTERWOCHE) - Microsoft warnt vor Sicherheitslücken in der Integrationssoftware BizTalk Server. Durch einen Buffer Overflow (Speicherüberlauf) in der HTTP-Receiver-Funktion von BizTalk 2002 können Angreifer beliebigen Code auf betroffenen Systemen ausführen oder Daten modifizieren und löschen. Der HTTP Receiver dient zum Austausch von Geschäftsdaten zwischen Backend-Systemen und ist als ISAPI-Erweiterung (Internet Services Application Programming Interface) implementiert. Dabei handelt es sich um eine DLL, auf die zum Beispiel ein ISS-Server (Internet Information Server) zugreifen kann. Hacker nutzen die Lücke, indem sie manipulierte Anfragen an den HTTP Receiver senden, die den Buffer Overflow auslösen.

Die BizTalk-Versionen 2000 und 2002 sind durch die so genannte "SQL Injection Vulnerability" angreifbar, durch die sich Hacker Zugriff auf in BizTalk eingebundene SQL-Datenbanken und in extremen Fällen auch auf das Betriebssystem verschaffen können. Die Zugriffe sind aufgrund fehlerhafter Prüfungen der Eingabeparameter möglich. Obwohl im Prinzip jedermann manipulierte Anfragen an DTA-Websites (Document Tracking & Administration) absetzen kann, lässt sich das Leck nur von angemeldeten DTA-Nutzern erfolgreich ausnutzen, heißt es bei Microsoft. Patches für beide Sicherheitslücken sind verfügbar.

Außerdem hat Microsoft einen Patch für Die Windows-Versionen NT 4 bis XP erneuert. Er beseitigt eine Sicherheitslücke in der "WM_TIMER"-Funktion des Betriebssystems und machte bereits mehrere Male Ärger (Computerwoche online berichtete). Der ursprünglich bereits im Dezember 2002 veröffentlichte Bugfix wurde zunächst vom Netz genommen, nachdem sich herausgestellt hatte, dass er NT-4-Konfigurationen zerstörte. Im Februar 2003 folgte eine korrigierte Version, die jedoch Probleme auf der Terminal Server Edition von NT 4 bereitete. Der abermals erneuerte Patch soll einwandfrei funktionieren, verspricht Microsoft. (lex)