Sicherheitsupdate, 17. Juli 2000
Dieses Update schließt zwei Sicherheitslücken in IIS 4.0 (Internet Information Server), die durch ein fehlendes Argument beim Durchsuchen eines Verzeichnisses und durch das Lesen von Dateifragmenten per HTR verursacht werden. Das Update ist im Microsoft Security Bulletin MS00-044 beschrieben. Downloaden Sie das Update jetzt, um zu verhindern, dass ein böswilliger Benutzer die Sicherheitslücken missbraucht, um die Leistung eines betroffenen Servers zu verlangsamen oder um unter äußerst seltenen Bedingungen den Quellcode bestimmter Dateitypen auf einem Webserver zu erhalten.
Bei den HTR-Dateien handelt es sich um Skripts, die unter Windows NT® 4.0 zum Ändern von Kennwörtern verwendet werden können und mit denen Administratoren verschiedene Administrationsfunktionen für Kennwörter durchführen können. Keine der beiden Sicherheitslücken ermöglicht das Ändern, Hinzufügen oder Löschen von Daten auf dem Server; auch der Missbrauch von Administrationsfunktionen auf dem betroffenen Server durch Unbefugte wird nicht ermöglicht.
Detailliertere Informationen zu den beiden Sicherheitslücken, die durch dieses Update geschlossen werden:
- Die Sicherheitslücke “Fehlendes Argument bei Durchsuchen eines Verzeichnisses”. Ein Administrationsskript, das als Teil von IIS 3.0 installiert wurde und bei der Aktualisierung auf IIS 4.0 oder IIS 5.0 erhalten bleibt, verarbeitet Fälle nicht ordnungsgemäß, in denen ein erwartetes Argument fehlt. Das Fehlen des Arguments kann dazu führen, dass das Skript eine Endlosschleife beginnt, was zur Beanspruchung sämtlicher CPU-Ressourcen auf dem Server durch das Skript führt. Darüber hinaus sind die Berechtigungen für dieses und einige ähnliche Tools unter IIS 4.0 nicht mehr zutreffend, obwohl dies unter IIS 3.0 noch der Fall war. Dadurch kann es Websitebesuchern eventuell ermöglicht werden, diese Tools zu verwenden, mit denen die Verzeichnisstruktur auf dem Server angezeigt werden kann.
- Eine neue Variante der Sicherheitslücke “Lesen von Dateifragmenten per HTR”. Informationen zur ursprünglichen Version dieser Sicherheitslücke erhalten Sie im Microsoft Security Bulletin MS00-031. (Diese Site ist in englischer Sprache.) Die neue Sicherheitslücke unterscheidet sich von anderen Varianten nur durch die Missbrauchsmöglichkeit. Wie die Originalversion kann diese Sicherheitslücke möglicherweise dazu führen, dass Fragmente von ASP- und anderen Dateien vom Server abgerufen werden können. Wie in der Originalversion ist aufgrund der Mechanismen der neuen Variante wahrscheinlich, dass die für einen böswilligen Benutzer interessanten Teile einer ASP-Datei entfernt werden.
Weitere Informationen zu dieser Sicherheitslücke erhalten Sie im Microsoft Security Bulletin MS00-044. (Diese Site ist in englischer Sprache.)
Dieses Update ist für Computer unter Windows NT 4.0 mit IIS 4.0 bestimmt.
Starten Sie Ihren Computer neu, um die Installation abzuschließen.
- Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
- Doppelklicken Sie auf Software.
- Wählen Sie Windows NT-Hotfix [weitere Informationen unter Q267560] aus, und klicken Sie zum Deinstallieren auf Hinzufügen/Entfernen.