| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.3 | $0-$5k | 0.00 |
Microsoft Windows 2003 Server ist die Server-Version von Windows XP; also eine Weiterentwicklung der professionellen Windows 2000 Server-Reihe. Wie Eiji James Yoshida in seinem Advisory und dem Bugtraq-Posting meldet, kann über Shell Folders erweiterte Leserechte in Anspruch genommen werden. Dazu ist das Aufrufen eines speziellen Links (z.B. shell:cache\..\..\Local Settings\Temp\exploit.html) nötig. Eine Auflistung der funktionierenden bzw. betroffenen Verzeichnisse ist im Advisory enthalten. Microsoft wurde am 9. Juni 2003 über das Vorhandensein der Schwachstelle informiert. Sie erklärten, dass sie mit der Erarbeitung einer Lösung beschäftigt seinen. Es wird voraussichtlich ein Patch erscheinen bzw. das Problem in einem Service Pack behoben werden. Zur Zeit ist kein Workaround verfügbar. Versuchen Sie nur vertrauenswürdigen Benutzern Zugriff auf das System zu überlassen. Unter securityfocus.com werden zusätzliche Informationen bereitgestellt. Die Schwachstellen 20978 sind ähnlich.
Diese Schwachstelle hätte verhindert werden müssen. Microsoft hat es unterlassen, die besagten Veriablen beim Aufrufen von Verzeichnissen herauszufiltern bzw. korrekt zu verarbeiten. Derlei Fehler passieren Programmierern meistens, wenn sie sich das erste Mal an die Entwicklung einer Webserver-Lösung heranwagen. Von Microsoft, einem grossen Player im Software-Business, hätte man in diesem Belang mehr Erfahrung und Qualität erwarten können. Man kann schon fast von Glück sprechen, dass der Microsoft Windows Server 2003 noch kein so hohes Mass an Verbreitung geniesst.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.5VulDB Meta Temp Score: 3.3
VulDB Base Score: 3.5
VulDB Temp Score: 3.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔍
Status: Proof-of-Concept
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Patch: support.microsoft.com
Timeline
08.10.2003 🔍09.10.2003 🔍
26.06.2019 🔍
Quellen
Hersteller: microsoft.comProdukt: microsoft.com
Advisory: geocities.co.jp
Person: Eiji James Yoshida
Status: Nicht definiert
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 09.10.2003 13:32Aktualisierung: 26.06.2019 16:57
Anpassungen: 09.10.2003 13:32 (49), 26.06.2019 16:57 (2)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.