zurück zum Artikel

Verschiedene Versionen der Microsoft Internet Information Services (IIS ) enthalten eine Sicherheitslücke, die dazu genutzt werden könnte, Schadcode auf Windows-Webserver zu schleusen und auszuführen. Problem ist das Parsen von Dateinamen mit Semikolon-Erweiterung.

Verschiedene Versionen der Microsoft Internet Information Services (IIS [1] ) enthalten eine Sicherheitslücke, die nach Angaben des Entdeckers Soroush Dalili dazu genutzt werden könnte, Schadcode auf Windows-Webserver zu schleusen und auszuführen, die IIS-Dienste nutzen. Wie Dalili erläutert [2] (PDF-Datei), handelt es sich um ein Problem beim Parsen von Dateinamen mit Semikolon-Erweiterung in IIS. Durch das Anhängen etwa von ";.jpg" an eine .asp-Datei, könnten Systeme, die die Ausführbarkeit von Code lediglich anhand der letzten Dateiendung analysieren, überlistet werden; eine Datei "malicious.asp;.jpg" würde auf dem Server dann als .asp-Datei ausgeführt.

Betroffen sind Dalilis Angaben zufolge die IIS-Versionen 6 und früher. Der Sicherheitsdienstleister Secunia hat die Lücke inzwischen für einen Windows Server 2003 R2 SP2 mit IIS 6 bestätigt. Anders als Dalili, der von einer "hochkritischen" Lücke ausgeht, stuft Secunia die Schwachstelle als "less critical [3]" ein, die zweitniedrigste Stufe in der Secunia-Sicherheitslücken-Hierarchie. Das Internet Storm Center befürchtet [4] jedoch, dass die Schwachstelle schon bald in großem Stil ausgenutzt werden könnte, um in Netzwerke einzudringen. Solange es keinen Patch gibt, sollten Webmaster die Ausführung von Code in Upload-Verzeichnissen generell unterbinden. (pmz [5])

URL dieses Artikels:
https://www.heise.de/-892828

Links in diesem Artikel:
[1] http://www.iis.net/
[2] http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf
[3] http://secunia.com/advisories/37831/
[4] http://isc.sans.org/diary.html?storyid=7816
[5] mailto:pmz@ct.de

Copyright © 2009 Heise Medien