Kritisk fiks for VPN i Windows 2000

Microsoft har publisert tre nye sikkerhetsbulletiner. Den viktigste har en kritisk fiks for brukere av virtuelle private nett under Windows 2000.

Sikkerhetsoppryddingen fortsetter i Microsoft. Onsdag ble det lagt ut tre nye sikkerhetsbulletiner, to med risikovurdering moderat, og en vurdert som kritisk.

Den kritiske, Microsoft Security Bulletin MS02-063: Unchecked Buffer in PPTP Implementation Could Enable Denial of Service Attacks, gjelder en usikret buffer i den delen av PPTP-implementasjonen i Windows 2000 som mottar kontrolldata, det vil si data om selve PPTP-sesjonen. PPTP - "point to point tunneling protocol" - brukes til å etablere sikre "tunneler" gjennom Internett for å bære VPN-forbindelser - "virtuelle private nettverk". VPN og PPTP brukes i hovedsak til å etablere en sikker forbindelse til interne tjenester fra en klient som bare har en internettoppkopling til rådighet.

Sårbarheten er vanskelig å utnytte, fordi den innebærer at angriperen må sende data på akkurat det tidspunktet en klient er i ferd med å opprette en PPTP-forbindelse. Microsoft opplyser at deres eksperter har prøvd å utnytte den usikrede bufferen til å sende kommandoer til både klient og server, men har ikke oppnådd annet enn å krasje systemene. Systemkrasjene har ikke etterlatt varige spor - alt fungerer som før etter en omstart.

Bulletin MS02-062: Cumulative Patch for Internet Information Service er en samlefiks for sårbarheter i Microsofts webtjener IIS, i versjonene 4.0, 5.0 og 5.1. Risikoen betraktes som moderat, og anbefalingen er å selv vurdere om man behøver å installere samlefiksen eller ikke.

Bulletin MS02-064: Windows 2000 Default Permissions Could Allow Trojan Horse Program gjelder et hull som kan utnyttes til å installere en trojaner, forutsatt at systemadministrator ikke har sikret tilgangen til rotkatalogen på Windows 2000-tjeneren. Anbefalingen er å se gjennom rettighetene.

Til toppen