Sicherheitsbulletin

Microsoft Security Bulletin MS01-014 – Kritisch

Fehlerhafte URL kann zu Dienstfehlern in IIS 5.0 und Exchange 2000 führen.

Veröffentlicht: 01. März 2001 | Aktualisiert: 23. Juni 2003

Version: 1.2

Ursprünglich gepostet: 01. März 2001
Aktualisiert: 23. Juni 2003

Zusammenfassung

Wer sollte dieses Bulletin lesen:
Systemadministratoren, die Microsoft® IIS 5.0 oder Exchange 2000 verwenden.

Auswirkungen der Sicherheitsanfälligkeit:
Denial of Service

Empfehlung:
Systemadministratoren sollten den Patch auf Server anwenden, auf denen die betroffenen Produkte ausgeführt werden.

Betroffene Software:

• Microsoft-Internetinformationsdienste 5.0
• Microsoft Exchange 2000

Allgemeine Informationen

Technische Details

Technische Beschreibung:

IIS 5.0 enthält einen Fehler, der sich auf die Art und Weise auswirkt, wie eine URL behandelt wird, wenn sie eine bestimmte Konstruktion aufweist und sich die Länge innerhalb eines sehr schmalen Wertebereichs befindet. Wenn eine solche URL wiederholt an ein betroffenes System gesendet wurde, kann ein Zusammenfluss von Ereignissen zu einem Speicherzuweisungsfehler führen, der zu einem Fehler des IIS-Diensts führen würde.

Exchange 2000 ist von der gleichen Sicherheitsanfälligkeit betroffen. Um webbasierte E-Mail-Clients zu unterstützen, wird die Möglichkeit eingeführt, Elemente im Store über URLs zu adressieren. Dies erfolgt teilweise mithilfe von IIS 5.0 und teilweise über Code, der spezifisch für Exchange 2000 ist. Beide Codeteile enthalten den Fehler, aber die Auswirkung der Ausnutzung der Sicherheitsanfälligkeit über beides wäre identisch - es könnte verwendet werden, um den IIS-Dienst zu scheitern, aber konnte nicht zum Angriff auf den Exchange-Dienst selbst verwendet werden. Das heißt, das erfolgreiche Angriff auf einen Exchange-Server über diese Sicherheitsanfälligkeit würde die Verwendung webbasierter E-Mail-Clients auf dem Server stören, aber nicht die von MAPI-basierten E-Mail-Clients wie Outlook.

Da der Fehler in zwei verschiedenen Codemodulen auftritt, von denen eines als Teil von IIS 5.0 installiert wird und beide als Teil von Exchange 2000 installiert werden, ist es wichtig, dass Exchange 2000-Administratoren sowohl die folgenden IIS- als auch exchange-Patches installieren.

Mildernde Faktoren:

• Die Sicherheitsanfälligkeit würde es dem Angreifer nicht ermöglichen, administrative Kontrolle über den Server zu erlangen oder daten darauf zu ändern.
• Die betroffenen Dienste werden im Falle eines Ausfalls automatisch neu gestartet, sodass ein betroffenes System den Dienst fast sofort wieder aufnehmen würde.
• Ein erfolgreicher Angriff auf einen Exchange-Server würde die Verwendung webbasierter E-Mail-Clients nur stören. Der Server wäre weiterhin für MAPI-basierte Clients wie Outlook verfügbar.
• Die an dieser Sicherheitsanfälligkeit beteiligten ISAPI authentifiziert den Benutzer vor der Wartung der Anforderung, sodass ein ordnungsgemäß konfigurierter Exchange-Server ein geringeres Risiko als ein IIS-Server darstellt.

Sicherheitsrisikobezeichner:CAN-2001-0146

Häufig gestellte Fragen

Was ist der Umfang der Sicherheitsanfälligkeit?
Dies ist eine Denial-of-Service-Sicherheitsanfälligkeit . Er könnte es einem Angreifer ermöglichen, den Dienst in einem betroffenen Web vorübergehend zu unterbrechen oder den webbasierten Zugriff auf einen betroffenen E-Mail-Server vorübergehend zu unterbrechen. Obwohl der Server in beiden Fällen automatisch den normalen Betrieb fortsetzen würde, gehen alle laufenden Sitzungen zum Zeitpunkt des Angriffs verloren. Die Sicherheitsanfälligkeit bietet dem Angreifer keine Möglichkeit, die administrative Kontrolle über den Server zu usurpieren oder Daten hinzuzufügen, zu ändern oder zu löschen.

Was verursacht die Sicherheitsanfälligkeit?
Die Sicherheitsrisikoergebnisse, da Internetinformationsdienste (IIS) 5.0 und Exchange 2000 keine URL mit einer bestimmten Konstruktion und einer Länge behandeln, die innerhalb eines sehr schmalen Wertebereichs liegt. Wenn eines der Produkte eine solche URL mit einer ausreichenden Anzahl empfangen hat, schlägt der IIS-Dienst fehl.

Ich dachte, URLs wurden nur in Verbindung mit dem Webbrowsen verwendet. Warum ist Exchange von dieser Sicherheitsanfälligkeit betroffen?
Exchange 2000 unterstützt die Verwendung webbasierter E-Mail-Clients und hat daher die Möglichkeit, URLs zu akzeptieren und zu verarbeiten. Tatsächlich können alle Anforderungen an einen Exchange-Server über URLs erfolgen. Obwohl der Code in Exchange, der URLs verarbeitet, vom IIS-Code getrennt ist, weisen beide denselben Fehler auf.

Was ist mit der hier in Rede stehenden URL falsch?
Es gibt nichts Falsches mit der URL pro Se. Obwohl es extrem unwahrscheinlich wäre, dass sie jemals zu einem legitimen Zweck gesendet werden kann, sollten IIS und Exchange dennoch in der Lage sein, die URL zu behandeln und angemessen zu verarbeiten. Stattdessen verursacht die Fehler bei der Speicherzuweisung einen Fehler, der bei ausreichender Zeit zu einer Zugriffsverletzung führen würde. Dies würde dazu führen, dass der IIS-Dienst auf dem Computer fehlschlägt.

Sie meinen nicht, dass der IIS- oder Exchange-Dienst je nach Servertyp fehlschlägt?
Nein In beiden Fällen würde der Effekt dazu führen, dass der IIS-Dienst fehlschlägt. Der Exchange-Dienst kann nicht über diese Sicherheitsanfälligkeit fehlschlagen.

Was wäre die Auswirkung eines erfolgreichen Angriffs über diese Sicherheitsanfälligkeit?
Es hängt davon ab, ob der Angriff auf einen Webserver oder einen E-Mail-Server war. In beiden Fällen würde der IIS 5.0-Dienst fehlschlagen. Auf einem Webserver würde dies verhindern, dass der Server Webdienste bereitstellt. Auf einem E-Mail-Server würde es nur verhindern, dass webbasierte E-Mail-Clients das System verwenden; E-Mail-Clients wie Outlook, die nicht über das Web funktionieren, würden keine Unterbrechungen in ihrem E-Mail-Dienst sehen.

Würde das Senden der URL einmal dazu führen, dass der Dienst fehlschlägt?
Nein Nicht nur müsste der Angreifer eine URL mit der richtigen Konstruktion und Länge auswählen, er müsste sie auch wiederholt senden, um die Sicherheitsanfälligkeit auszunutzen.

Wie lange dauert die Unterbrechung?
Unter normalen Bedingungen konnte ein Angriff nur zu einer momentanen Unterbrechung des Dienstes führen. Der IIS 5.0-Dienst ist standardmäßig so konfiguriert, dass er im Falle eines Fehlers automatisch neu gestartet wird, sodass er fast sofort den normalen Vorgang fortsetzen würde.

Könnte die Sicherheitsanfälligkeit verwendet werden, um einen Server zu übernehmen?
Nein Es ist streng eine Denial-of-Service-Sicherheitsanfälligkeit. Es konnte nicht verwendet werden, um administrative Kontrolle über einen Web- oder E-Mail-Server zu erlangen oder eine der darin enthaltenen Daten zu ändern. Es konnte nur verwendet werden, um zu verhindern, dass ein Server Dienst bereitstellt.

Könnte die Sicherheitsanfälligkeit versehentlich ausgenutzt werden?
Nein Es ist äußerst unwahrscheinlich, dass eine URL mit der jeweiligen Konstruktion und Länge versehentlich gesendet werden kann.

Stellt diese Sicherheitsanfälligkeit ein größeres Risiko für IIS- oder Exchange-Server dar?
Wenn bewährte Methoden befolgt wurden, wären Exchange-Server mit geringerem Risiko verbunden. Aufgrund der Art und Weise, wie die betroffenen Komponenten entworfen werden, können nur authentifizierte Benutzer Anforderungen unter normalen Bedingungen an den Exchange-Server senden. Dies bedeutet, dass Internetbenutzer keinen betroffenen Exchange-Server angreifen können. Im Gegensatz dazu akzeptieren Webserver in der Regel Anforderungen von jedem Benutzer.

Wirkt sich diese Sicherheitsanfälligkeit auf frühere Versionen von IIS oder Exchange aus?
Nein Nur IIS 5.0 und Exchange 2000 sind betroffen.

Was macht der Patch?
Der Patch beseitigt die Sicherheitsanfälligkeit, indem die URL entsprechend behandelt wird. In den meisten Fällen wäre eine solche URL ungültig, und der Patch bewirkt, dass IIS 5.0 und Exchange 2000 auf diese Weise behandelt werden.

Warum müssen sowohl exchange- als auch IIS-Patches auf Exchange 2000-Server angewendet werden?
Obwohl IIS 5.0 und Exchange 2000 denselben Codierungsfehler enthalten, liegt es in zwei verschiedenen Komponenten. Eine dieser Komponenten ist Teil von IIS 5.0, und die andere ist Teil von Exchange 2000. IIS wird jedoch als Teil von Exchange 2000 installiert, sodass für einen Exchange 2000-Server sowohl die IIS 5.0- als auch die Exchange 2000-Patches erforderlich sind.

Patch-Verfügbarkeit

Downloadspeicherorte für diesen Patch

• Microsoft IIS 5.0:

  https://www.microsoft.com/download/details.aspx?FamilyId=8DEA064A-32D6-4E83-AB9A-9AE14D33AC64& displaylang;=de

• Microsoft Exchange 2000:

  https://www.microsoft.com/download/details.aspx?FamilyId=1A05D338-0FCB-4172-BBA2-A1D888637369& displaylang;=de

  Hinweis: Wie in der technischen Diskussion erläutert, sollten Exchange 2000-Administratoren sowohl die IIS 5.0- als auch exchange 2000-Patches installieren.

Weitere Informationen zu diesem Patch

Installationsplattformen:

• Der IIS 5.0-Patch kann auf Systemen mit Windows 2000 Gold und Service Pack 1 installiert werden.
• Der Exchange 2000-Patch kann auf Systemen mit Exchange 2000 Gold installiert werden.

Aufnahme in zukünftige Service Packs:

• Der Fix für das IIS 5.0-Problem ist in Windows 2000 Service Pack 2 enthalten.
• Die Lösung für das Exchange 2000-Problem wird in Exchange 2000 Service Pack 1 enthalten sein.

Überprüfen der Patchinstallation:

IIS 5.0:

• Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, vergewissern Sie sich, dass der folgende Registrierungsschlüssel auf dem Computer erstellt wurde:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP2\Q286818.

• Verwenden Sie zum Überprüfen der einzelnen Dateien im Patch die Im folgenden Registrierungsschlüssel bereitgestellten Datums-/Uhrzeit- und Versionsinformationen:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP2\Q286818\Filelist.

Exchange 2000:

• Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, vergewissern Sie sich, dass beide der folgenden Registrierungsschlüssel auf dem Computer erstellt wurden:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP2\Q286818
  • HKLM\SOFTWARE\Microsoft\Updates\Exchange Server 2000 Service Pack 1\Q287678.
• Um die einzelnen Dateien im Patch zu überprüfen, verwenden Sie die In den folgenden Registrierungsschlüsseln bereitgestellten Datums-/Uhrzeit- und Versionsinformationen:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP2\Q286818\Filelist
  • HKLM\SOFTWARE\Microsoft\Updates\Exchange Server 2000 Service Pack 1\Q287678\Filelist.

Einschränkungen:

Exchange 2000-Systeme erfordern sowohl iis 5.0- als auch Exchange 2000-Patches.

Lokalisierung:

Lokalisierte Versionen dieses Patches werden entwickelt. Nach Abschluss des Vorgangs stehen sie an den Speicherorten zur Verfügung, die unter "Abrufen anderer Sicherheitspatches" erläutert werden.

Abrufen anderer Sicherheitspatches:

Patches für andere Sicherheitsprobleme stehen an den folgenden Speicherorten zur Verfügung:

• Sicherheitspatches sind im Microsoft Download Center verfügbar und können am einfachsten gefunden werden, indem sie eine Schlüsselwort (keyword) Suche nach "security_patch" durchführen.
• Patches sind auch auf der WindowsUpdate-Website verfügbar.

Weitere Informationen:

Bestätigungen

Microsoft danke Kevin Kotas von eSecurityOnline.com für die Meldung dieses Problems an uns und arbeitet mit uns zusammen, um Kunden zu schützen.

Unterstützungswert:

• Microsoft Knowledge Base-Artikel Q286818 und Q287678 dieses Problem besprechen und werden ungefähr 24 Stunden nach der Veröffentlichung dieses Bulletins verfügbar sein. Knowledge Base-Artikel finden Sie auf der Microsoft Online Support-Website .
• Technischer Support steht von Microsoft-Produktsupportdiensten zur Verfügung. Es fallen keine Gebühren für Supportanrufe an, die Sicherheitspatches zugeordnet sind.

Sicherheitsressourcen: Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.

Haftungsausschluss:

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen:

• V1.0 (01. März 2001): Bulletin Created.
• V1.1 (13. Juni 2001): Bulletin überarbeitet, um zu beachten, dass der IIS 5.0-Patch für Windows 2000 Gold und Service Pack 1 gilt und in Windows 2000 Service Pack 2 enthalten ist.
• V1.2 (23. Juni 2003): Aktualisierte Windows Update-Downloadlinks.

Gebaut am 2014-04-18T13:49:36Z-07:00