Microsoft IIS 5.0 WebDav Pufferüberlauf lässt Programmcode ausführen

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.2$0-$5k0.00

Zusammenfassunginfo

In Microsoft IIS 5.0 wurde eine Schwachstelle ausgemacht. Sie wurde als sehr kritisch eingestuft. Es ist betroffen eine unbekannte Funktion der Komponente WebDav. Mit der Manipulation mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2003-0109 gehandelt. Es ist möglich, den Angriff aus der Ferne durchzuführen. Ausserdem ist ein Exploit verfügbar. Aufgrund ihres Kontexts und der Resonanz hat diese Schwachstelle eine historische Auswirkung. Es wird empfohlen, einen Patch anzuwenden, um dieses Problem zu beheben.

Detailsinfo

Microsoft Internet Information Server (MS IIS) ist eine beliebte Webserver-Implementierung für Windows-Systeme. Das vom IIS eingesetzte WebDAV weist eine Pufferüberlauf-Schwachstelle auf. Der Angreifer könnte durch eine spezielle HTTP-Anfrage Code im Sicherheitskontext des IIS ausführen. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (11533), Exploit-DB (1), Tenable (11413), SecurityFocus (BID 7116†) und OSVDB (4467†) dokumentiert. Weitere Informationen werden unter heise.de bereitgestellt. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-84, VDB-86, VDB-85 und VDB-82. Be aware that VulDB is the high quality source for vulnerability data.

Für den Vulnerability Scanner Nessus wurde am 18.03.2003 ein Plugin mit der ID 11413 (MS03-007: Unchecked Buffer in ntdll.dll (815021)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet. Der folgende NASL-Code wird zur Analyse verwendet:

if (http_is_dead(port:port)) exit(0);

 	 body = 
	     '<?xml version="1.0"?>\r\n' +
	     '<g:searchrequest xmlns:g="DAV:">\r\n' +
	     '<g:sql>\r\n' +
	     'Select "DAV:displayname" from scope()\r\n' +
	     '</g:sql>\r\n' +
	     '</g:searchrequest>\r\n';
	     
	 # This is where the flaw lies. SEARCH /AAAA.....AAAA crashes
	 # the remote server. The buffer has to be 65535 or 65536 bytes
	 # long, nothing else
	 
w = http_send_recv3(method:"SEARCH", port: port, item: "/"+crap(65535),
  content_type: "text/xml", data: body);

if (http_is_dead(port:port))
{
   security_hole(port);
   exit(0);
}

if (isnull(w)) exit(0, "The web server did not answer or dropped the request");

r = strcat(w[0], w[1], '\r\n', w[2]);
if (w[0] =~ "^HTTP/1\.[0-1] 500 " && "(exception)" >< r)
  security_hole(port);
Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 86479 (Microsoft Windows ntdll.dll Buffer Overflow Vulnerability (MS03-007)) zur Prüfung der Schwachstelle an.

Einmal mehr sehen sich die Administratoren des IIS mit einem Horror-Szenarion konfrontiert: Diese schwerwiegende Schwachstelle ist ohne viel Aufwand auszunutzen und dadurch das gesamte Zielsystem kompromittierbar. Diese Schwachstelle wird also ganz sicher in die Annalen der IIS-Sicherheit eingehen. Um das Ausmass zu minimieren, gilt es schnellstmöglich die von Microsoft zur Verfügung gestellten Patches einzuspielen.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.6
VulDB Meta Temp Score: 5.2

VulDB Base Score: 5.6
VulDB Temp Score: 5.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 11413
Nessus Name: MS03-007: Unchecked Buffer in ntdll.dll (815021)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍

OpenVAS ID: 11413
OpenVAS Name: Unchecked Buffer in ntdll.dll (Q815021)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Saint ID: exploit_info/iis5_webdav
Saint Name: ntdll.dll buffer overflow via IIS 5.0 WebDAV

Qualys ID: 🔍
Qualys Name: 🔍

MetaSploit ID: ms03_007_ntdll_webdav.rb
MetaSploit Name: MS03-007 Microsoft IIS 5.0 WebDAV ntdll.dll Path Overflow
MetaSploit Datei: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔍
Exploit Delay Time: 🔍

Upgrade: IIS 1
Patch: MS03-007

Snort ID: 2090
Snort Message: SERVER-IIS WEBDAV exploit attempt
Snort Klasse: 🔍

Suricata ID: 2002844
Suricata Klasse: 🔍
Suricata Message: 🔍

TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS Version: 🔍

SourceFire IPS: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍

Timelineinfo

17.02.2000 🔍
26.02.2003 +1105 Tage 🔍
17.03.2003 +18 Tage 🔍
17.03.2003 +0 Tage 🔍
17.03.2003 +0 Tage 🔍
18.03.2003 +1 Tage 🔍
31.03.2003 +13 Tage 🔍
31.03.2003 +0 Tage 🔍
24.04.2003 +24 Tage 🔍
30.05.2003 +36 Tage 🔍
27.06.2003 +28 Tage 🔍
17.03.2004 +264 Tage 🔍
25.08.2025 +7830 Tage 🔍

Quelleninfo

Hersteller: microsoft.com

Advisory: MS03-007
Person: Operash
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2003-0109 (🔍)
GCVE (CVE): GCVE-0-2003-0109
GCVE (VulDB): GCVE-100-15

OVAL: 🔍

CERT: 🔍
X-Force: 11533 - Microsoft IIS WebDAV long request buffer overflow, High Risk
SecurityFocus: 7116 - Microsoft Windows ntdll.dll Buffer Overflow Vulnerability
Secunia: 8314
OSVDB: 4467 - Microsoft Windows WebDav ntdll.dll Remote Overflow
Vulnerability Center: 1342 - [MS03-007] Buffer Overflow in WebDAV ntdll.dll Allows Arbitrary Code Execution via Long Request to I, Critical

scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 17.03.2003 01:00
Aktualisierung: 25.08.2025 02:36
Anpassungen: 17.03.2003 01:00 (70), 07.05.2018 21:48 (51), 08.03.2021 07:15 (3), 08.03.2021 07:17 (1), 31.12.2024 03:27 (15), 25.08.2025 02:36 (2)
Komplett: 🔍
Cache ID: 216:8CA:103

Be aware that VulDB is the high quality source for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!