MS01-026: Überflüssiger Decodierungsvorgang kann Ausführung von Befehlen ermöglichen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 295534 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D45073
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
295534 MS01-026: Superfluous Decoding Operation Can Allow Command Execution Through IIS
Alles erweitern | Alles schließen

Problembeschreibung

Bei Microsoft Internet Information Services (IIS) 5.0 und Microsoft Internet Information Server (IIS) 4.0 besteht eine Sicherheitsanfälligkeit, die es einem böswilligen Benutzer ermöglichen kann, Betriebssystembefehle auf einem davon betroffenen Webserver auszuführen. Dadurch kann er Webseiten ändern und Dateien hinzufügen, ändern oder löschen, die Festplatte neu formatieren oder sonstige Aktionen durchführen (z.B. Hochladen und Ausführen beliebigen Codes auf dem Server).

Durch Einhaltung bewährter Sicherheitsvorkehrungen kann es für einen Angreifer schwierig oder unmöglich werden, die Anfälligkeit zu nutzen. Selbst wenn er sie nutzt, erhält er keine Administratorrechte für den Server. Stattdessen werden ihm durch die Anfälligkeit Berechtigungen gewährt, die normalerweise für Benutzer bestimmt sind, die sich interaktiv am Server anmelden können. Dennoch kann ein böswilliger Benutzer auch mit diesen Berechtigungen erheblichen Schaden anrichten und erhält einen Einstiegspunkt für weitere Angriffe, um sich zusätzliche Berechtigungen zu verschaffen.

Schadensbegrenzende Faktoren:
  • Diese Anfälligkeit ermöglicht es einem Angreifer nicht, sich Informationen über die Ordnerstruktur auf dem Server zu verschaffen. Wenn das Betriebssystem also auf einem vom Web-Stammverzeichnis getrennten Laufwerk oder in Nicht-Standardordnern liegt, so kann dadurch verhindert werden, dass ein Angreifer Zugang zu kritischen Programmen erhält.
  • Diese Anfälligkeit ermöglicht es nicht, sich Administratorrechte für den Server zu verschaffen. Wenn Sie die Empfehlungen in den Sicherheitschecklisten von IIS 4.0 und IIS 5.0 beachtet haben, werden sicherheitskritische Programme in Ordner verschoben, zu denen nur der Administrator Zugriff hat, und der Zugriff auf Serverressourcen durch Nicht-Administratoren wird streng eingeschränkt.

Ursache

Diese Anfälligkeit ist auf einen Fehler in der Funktion zurückzuführen, die Anforderungen zur Ausführung von Programmen bearbeitet, die auf dem Server liegen. Ein überflüssiger Decodierungsvorgang kann es einem Angreifer ermöglichen, Sicherheitsprüfungen und die virtuelle Ordnerstruktur des Servers zu umgehen, wodurch er Betriebssystembefehle auf dem Server ausführen kann.

Lösung

Weitere Informationen zu den Problemen, die durch die folgenden Patches behoben werden, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
297860 Patch-Rollup IIS 5.0 (Sicherheit) und IIS 4.0 (Patches ab Windows NT 4.0 SP5)

Internet Information Services 5.0
Beziehen Sie entweder das hier angegebene Update oder das Windows 2000 Security Rollup Package 1 (SRP1). Weitere Informationen über das SRP1 erhalten Sie in folgendem Artikel der Microsoft Knowledge Base:
311401 Windows 2000 Security Rollup Package 1 (SRP1), January 2002
Beziehen sie das neueste Service Pack für Windows 2000. Weitere Informationen dazu erhalten Sie in folgendem Artikel der Microsoft Knowledge Base:
260910 Wie Sie das neueste Service Pack für Windows 2000 erhalten

Folgende Datei steht Ihnen im Microsoft Download Center zum Download zur Verfügung:
   Q293826_W2K_SP3_x86_en.exe 
   http://www.microsoft.com/Downloads/details.aspx?displaylang=en&FamilyID=00E2349B-A200-4DCF-A78E-5532BC225AFD
Hinweis: Sie können diesen Patch in Systemen mit Microsoft Windows 2000 Gold, Windows 2000 Service Pack 1 oder Windows 2000 Service Pack 2 installieren.

Internet Information Server 4.0

Beziehen Sie das Windows NT 4.0 Security Rollup Package. Weitere Informationen dazu erhalten Sie in folgendem Artikel der Microsoft Knowledge Base:
299444 Security Rollup Package (SRP) nach Windows NT 4.0 Service Pack 6a


Ein Update zur Behebung dieses Problems ist inzwischen von Microsoft erhältlich. Dieses Update dient nur zur Behebung des in diesem Artikel beschriebenen Problems und sollte daher nur bei tatsächlich gefährdeten Systemen angewendet werden. Bitte überprüfen Sie die physische Zugänglichkeit, die Netzwerk- und Internet-Konnektivität Ihres Systems sowie weitere Faktoren, um den Risikograd für Ihr System zu bestimmen. Hilfestellung dafür finden Sie in dem entsprechenden Microsoft-Sicherheitsbulletin (http://www.microsoft.com/technet/security/bulletin/ms01-026.mspx). Dieses Update wird möglicherweise zu einem späteren Zeitpunkt weiteren Tests unterzogen, um die Produktqualität zusätzlich zu gewährleisten. Wenn ein entsprechender Risikograd für Ihr System besteht, empfiehlt Microsoft, dieses Update anzuwenden. Andernfalls sollten Sie auf das nächste Windows 2000-Service Pack warten, das dieses Update enthält.

Wenn Sie das Problem sofort beheben wollen, laden Sie das Update wie im folgenden beschrieben herunter oder wenden Sie sich an den Microsoft-Produktsupport, um das Update zu erhalten.

Folgende Datei steht Ihnen im Microsoft Download Center zum Download zur Verfügung:
   Q295534i.exe 
   http://www.microsoft.com/Downloads/details.aspx?displaylang=en&FamilyID=8A13DE26-62A1-4306-9C99-C5EB6938A5A0
Hinweis: Q295534is.exe sind die Symboldateien.

Hinweis: Sie können diesen Patch in Systemen mit Microsoft Windows NT 4.0 Service Pack 5 oder Windows NT 4.0 Service Pack 6a installieren.

Windows NT Server version 4.0, Terminal Server Edition

Beziehen Sie das Windows NT Server 4.0, Terminal Server Edition, Security Rollup Package (SRP). Weitere Informationen über das SRP erhalten Sie in folgendem Artikel der Microsoft Knowledge Base:
317636 Windows NT Server 4.0, Terminal Server Edition, Security Rollup Package

Status

Internet Information Services 5.0

Microsoft hat bestätigt, dass dieses Problem zu einer gewissen Sicherheitsanfälligkeit bei Internet Information Services 5.0 führen kann. Dieses Problem wurde erstmals in Windows 2000 Service Pack 3 behoben.

Internet Information Server 4.0

Microsoft hat bestätigt, dass dieses Problem zu einer gewissen Sicherheitsanfälligkeit bei Internet Information Server 4.0 führen kann.

Weitere Informationen

Weitere Informationen zu diesem Sicherheitsproblem finden Sie auf folgender Microsoft-Website:
   http://www.microsoft.com/technet/security/bulletin/ms01-026.mspx
Weitere Informationen Updates für Microsoft Windows 2000 Datacenter Server finden Sie in folgendem Artikel der Microsoft Knowledge Base:
265173 Das Datacenter-Programm und das Windows 2000 Datacenter Server-Produkt
Weitere Informationen zum Installieren von mehreren Windows-Updates mit nur einem Neustart finden Sie in folgendem Artikel der Microsoft Knowledge Base:
296861 Installieren von mehreren Windows-Updates mit nur einem Neustart


Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Eigenschaften

Artikel-ID: 295534 - Geändert am: Mittwoch, 29. Januar 2014 - Version: 3.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
Keywords: 
kbnosurvey kbarchive kbqfe kbhotfixserver kbbug kbfix kbgraphxlinkcritical kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB295534
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com