Farlige hull oppdaget i flere Microsoft-servere

Microsoft advarer om farlige hull i SQL Server, Remote Access Server og Internet Information Server.

Advarslene er gjengitt i Microsofts sikkerhetsbulletiner MS02-28, MS02-29 og MS02-30 som ble offentliggjort onsdag kveld norsk tid. Microsoft har lagt ut fikser. I noen tilfeller er det tilstrekkelig å følge enkle instrukser for å skru av funksjonalitet som man normalt ikke trenger.

SQL Server 2000

Her er det to feil i SQLXML, en komponent som gjør det mulig å ta i mot XML-forespørsler til SQL-databasen, og formatere svar i XML.

Den mest alvorlige feilen gjelder en usikret buffer som en angriper kan oversvømme for i verste fall å overta kontrollen over IIS-serveren. Dette krever at HTTP-komponentene i SQLXML er aktivert på IIS-serveren. Fiksen retter opp feilen ved å verne bufferen mot oversvømmelse.

Den andre sårbarheten er mer komplisert å utnytte, og kan gjøre det mulig for en angriper å kjøre vilkårlige skripter på maskinen til en legitim bruker av en SQL-server. Fiksen retter opp feilen ved å verne en bestemt parameter mot ugyldig data.

Remote Access Server

Dette er funksjonalitet som kan installeres under NT 4.0, Windows 2000 og Windows XP for å gjøre det mulig for brukere å oppnå vanlig nettverkskontakt med en server over en telefonlinje. Sårbarheten består i en usikret buffer i katalogen over brukere som skal gis tilgang til systemet. En bruker som har rett til å redigere denne katalogen vil kunne forsyne den med data som i verste fall gir vedkommende kontroll over serveren på operativsystemnivå.

Microsoft bemerker at det som regel ikke er noen grunn til å gi vanlige brukere adgang til å redigere RAS-katalogen. Systemadministratorer som mener dette er påkrevet, anbefales å installere fiksen umiddelbart.

Internet Information Server 4.0 og 5.0

Det er en bufferfeil i håndteringen av HTR, en skriptteknologi som ble erstattet av Active Server Pages (ASP) i IIS 4.0, men som har overvintret av hensyn til påstått brukervennlig bakoverkompatibilitet. Standardinnstillingen i IIS 4.0 og 5.0 er stadig at HTR er aktivert, selv om Microsoft innstendig anbefaler at den deaktiveres og erstattes av ASP, med mindre man har spesielt begrunnede behov.

Ifølge Microsoft er web-basert drifting av passord den eneste utbredte bruken av HTR i dag.

Her møter Microsoft seg selv i døra. Selskapet advarer mot passord-drifting over web, men leverer samtidig, som standard funksjonalitet i IIS, en serie HTR-skripter som nettopp lar systemadministratorer endre passordoppsett over en web-forbindelse.

Motivet er antakelig at du skal slippe å dra tilbake til jobben når nattskiftet roter det til for seg.

Poenget er at dersom HTR er aktivert, kan en angriper oversømme en bestemt buffer og enten sette hele serveren ute av spill, eller endre hvordan den fungerer. Microsoft advarer at enhver bruker som kan oppnå kontakt med IIS-serveren over en internettforbindelse, kan være i stand til å utnytte bufferfeilen.

Microsoft har lagt ut en fiks, men anbefaler at man deaktiverer HTR.

Til toppen