| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Microsoft IIS 6.0 gefunden. Sie wurde als sehr kritisch eingestuft. Es geht um eine nicht näher bekannte Funktion der Komponente Admin Interface. Durch Manipulieren mit unbekannten Daten kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk angegangen werden. Desweiteren ist ein Exploit verfügbar. Es wird empfohlen, restriktive Firewall-Regeln anzuwenden.
Details
Der Microsoft Internet Information Server ist ein beliebter Webserver für die professionellen Windows-Betriebssysteme. Die Version 6.0 wird zusammen mit Microsoft Windows 2003 Server ausgeliefert. Hugo Vázquez Caramés und Toni Cortés Martínez posteten auf Bugtraq ein Advisory, bei dem sie auf mehrere Schwachstellen im Admin Interface von MS IIS 6.0 hinweisen. Auf das Heranziehen des Session-Keys __SAPageKey wird bei einigen ASP-Dokumenten verzichtet (/admin/default.asp, /admin/tasks.asp und /admin/users/users.asp). Diese sind sodann ohne Authentifizierung direkt von jederman, der sich mit dem Admin Interface verbinden kann, ansprechbar. Microsoft wurde nicht vorzeitig über die Existenz der Schwachstellen informiert. Es ist jedoch damit zu rechnen, dass sie einen Patch für diese Verwundbarkeit herausgeben werden. Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 8244†) dokumentiert. Weitere Informationen werden unter heise.de bereitgestellt. Von weiterem Interesse können die folgenden Einträge sein: VDB-15, VDB-84, VDB-86 und VDB-85. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Hugo Vázquez Caramés und Toni Cortés Martínez haben mit diesem Bugtraq-Posting sehr unfair und unprofessionell gehandelt. Sie weisen eingehends darauf hin, dass sie keine Freunde von Microsoft sind. Aus diesem Grund würden sie es unterlassen, Microsoft frühzeitig und explizit auf die Schwachstelle hinzuweisen. Resultat dieses ignoranten Verhaltens ist, dass ein Mehr an Zeit verstreichen wird, bis Microsoft den Fehler kennt und entsprechende Gegenmassnahmen einleiten kann.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.9VulDB Meta Temp Score: 5.4
VulDB Base Score: 5.9
VulDB Temp Score: 5.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Schwache AuthentisierungCWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: FirewallStatus: 🔍
0-Day Time: 🔍
Patch: microsoft.com
Timeline
24.04.2003 🔍22.07.2003 🔍
23.07.2003 🔍
23.07.2003 🔍
07.06.2017 🔍
Quellen
Hersteller: microsoft.comAdvisory: securityfocus.com⛔
Person: Hugo Vázquez Caramés, Toni Cortés Martínez
Firma: Infohacking, Barcelona, Spanien
Status: Nicht definiert
GCVE (VulDB): GCVE-100-189
SecurityFocus: 8244 - Microsoft Multiple IIS 6.0 Web Admin Vulnerabilities
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 23.07.2003 12:09Aktualisierung: 07.06.2017 16:02
Anpassungen: 23.07.2003 12:09 (60), 07.06.2017 16:02 (2)
Komplett: 🔍
Cache ID: 216:272:103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.