LDAP über SSL könnte eine Änderung von Kennworten zulassen

Microsoft stellt ein Update zur Verfügung, das eine Sicherheitslücke behebt, die in einer Komponente von Microsoft Windows 2000 Service Pack 2 besteht. Diese Sicherheitslücke betrifft eine LDAP-Funktion (Lightweight Directory Access Protocol), die nur zur Verfügung steht, wenn der Server darauf konfiguriert wurde, sicheres LDAP über SSL (Secure Socket Layer) zu unterstützen; dabei soll das LDAP es den Benutzern gestatten, die Datenattribute von Verzeichnisverwaltern zu ändern. Standardmäßig sollte die Funktion überprüfen, ob der Benutzer zu dieser Aktion autorisiert ist, bevor Sie die Anfrage ausführt. Sie enthält jedoch einen Fehler, der sich erst offenbart, wenn der Verzeichnisverwalter ein Domänenbenutzer ist und das Datenattribut das Domänenkennwort ist. In diesem Fall überprüft die Funktion die Autorisierung des Benutzers nicht, sodass es einem böswilligen Benutzer möglich sein könnte, das Anmeldekennwort eines jeden anderen Benutzers in der Domäne zu ändern.

Ein Angreifer könnte das Kennwort eines anderen Benutzers aus den folgenden zwei Gründen ändern: Zum einen, um eine Dienstverweigerung hervorzurufen, die die anderen Benutzer daran hindert, sich anzumelden, oder er könnte sich zum Anderen mit den Daten des Benutzers anmelden und so die Rechte dieses Benutzers ausnutzen. Offensichtlich wäre der schwerwiegendste Fall, wenn der Angreifer das Kennwort des Domänenadministrators ändern und sich mit dem Konto des Administrators anmelden würde.

Standardmäßig kann die betroffene Funktion von jedem Benutzer aufgerufen werden, der sich mit dem LDAP-Server verbinden kann, einschließlich der Benutzer, die sich mittels anonymer Anmeldung verbinden. Entsprechend könnte jeder Benutzer, der sich mit einem betroffenen Server verbinden kann, diese Sicherheitslücke ausnutzen.

Ein Update zur Behebung dieses Problems ist inzwischen von Microsoft erhältlich; dieses Update wurde jedoch ausschließlich zur Behebung des in diesem Artikel beschriebenen Problems entwickelt und sollte nur auf Systeme angewendet werden, die von einem Angriff dieser Art betroffen sein könnten. Bitte überprüfen Sie Ihren Computer hinsichtlich physischer Verfügbarkeit, Netzwerk- und Internetverbindungen sowie weiterer Faktoren, um herauszufinden, inwieweit Ihr Computer von diesem Problem bedroht ist. Das Microsoft Security Buletin zu diesem Problem (http://www.microsoft.com/technet/security/bulletin/MS01-036.asp) kann Sie dabei unterstützen, das Risiko für Ihr System einzuschätzen. Dieses Update wird unter Umständen zu einem späteren Zeitpunkt weiteren Tests unterzogen, um eine optimale Produktqualität zu gewährleisten. Microsoft empfiehlt, dieses Update sofort anzuwenden, falls Ihr System von diesem Problem betroffen sein könnte. Warten Sie andernfalls bitte auf das nächste Service Pack für Windows 2000, das dieses Update enthalten wird.

Wenn Sie das Problem sofort beheben wollen, laden Sie das Update wie im folgenden beschrieben herunter oder wenden Sie sich an den Microsoft Produktsupport, um das Update zu erhalten. Eine vollständige Liste mit Telefonnummern des Microsoft Produktsupports finden Sie unter der folgenden Adresse im World Wide Web:Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:Weitere Informationen über das Downloaden von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:

Microsoft hat bestätigt, dass dieses Problem in einem gewissen Umfang zu einer Sicherheitsanfälligkeit in den Microsoft Windows 2000 führen kann.

Weitere Informationen zu diesem Problem finden Sie auf folgender Website von Microsoft:Weitere Informationen über das gleichzeitige Installieren von Windows 2000 und Windows 2000-Updates finden Sie in folgendem Artikel der Microsoft Knowledge Base:

Weitere Informationen dazu, wie Sie ein Update für dieses Problem für Microsoft Windows 2000 Datacenter Server erhalten, finden Sie in folgendem Artikel der Microsoft Knowledge Base:

Weitere Informationen dazu, wie Sie mehrere Updates bei nur einem Neustart installieren können, finden Sie in folgendem Artikel der Microsoft Knowledge Base:

Weitere Suchbegriffe: security_patch update upgrade hack ldapd pass kennwort dos

Microsoft hat die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war, um diese Datei auf Viren zu prüfen. Nach der Bereitstellung befindet sich die Datei auf sicheren Servern, wodurch nicht autorisierte Änderungen an der Datei verhindert werden.

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.