| Microsoft Security Bulletin MS02-041 Niet gecontroleerd buffer in Content Management Server |
Download nu |
Microsoft Security Bulletin MS02-041 Rangschikking & Samenvatting
- Naam uitgever:
- By Microsoft
- Uitgever website:
- http://www.microsoft.com/
- Besturingssystemen:
- Windows, Windows 2000
- Aanvullende vereisten:
- Microsoft Content Management Server 2001 Microsoft Windows 2000 Server, Advanced Server, or DataCenter Server Microsoft SQL ServerTM 7.0 or 2000 Microsoft Internet Information Services (IIS) 5.0
- Totaal aantal downloads:
- 21
Microsoft Security Bulletin MS02-041 Tags
Microsoft Security Bulletin MS02-041 Beschrijving
Microsoft Content Management Server (MCMS) 2001 is een .NET Enterprise Server-product dat het ontwikkelen en beheren van e-Business-websites vereenvoudigt. Microsoft heeft van drie beveiligingskwetsbaarheden geleerd die het beïnvloeden: een bufferoverschrijding in een functie met een laag niveau die gebruikersauthenticatie uitvoert. Ten minste één webpagina die is meegeleverd met MCMS 2001 passeert ingangen rechtstreeks naar de functie, waardoor mogelijk een manier biedt voor een aanvaller om de buffer te overschrijden. Het resultaat van het uitbuiten van het beveiligingslek zou zijn om MCMS te mislukken, of voert code uit in de context van de MCMS-service (die wordt uitgevoerd als lokaal systeem). Een kwetsbaarheid als gevolg van de samenvloeiing van twee tekortkomingen die van invloed zijn op een functie waarmee bestanden naar de server kunnen worden geüpload. De eerste fout ligt in de manier waarop de functie verzoeken verifieert en een gebruiker mogelijk maakt om een uploadverzoek in te dienen. De tweede resultaten omdat het mogelijk is om de uploadlocatie te negeren; Wanneer de functie bestanden naar een map moet uploaden die alleen bevoorrechte gebruikers toegang hebben, kan het worden overschreven om het naar een tijdelijke map te uploaden die niet mogelijk is om het te bellen. Door de twee gebreken in Tandem te exploiteren, kan een aanvaller een .asp of ander bestand uploaden naar de server, op een locatie waaruit het kan worden uitgevoerd. Een SQL-injectie-beveiligingslek die een functie beïnvloedt die verzoeken om afbeeldingsbestanden en andere bronnen. Het exploiteren van het beveiligingslek kan een aanvaller in staat stellen SQL-opdrachten op de server uit te voeren, die niet alleen gegevens in de MCMS-database toestaat die moet worden toegevoegd, gewijzigd of verwijderd, maar ook de aanvaller in staat stellen om besturingssysteemopdrachten op de server uit te voeren.
Microsoft Security Bulletin MS02-041 Gerelateerde software