Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2002 > CERT-FI haavoittuvuustiedote 049/2002

CERT-FI haavoittuvuustiedote 049/2002

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

8.8.2002

Haavoittuvuus MCMS -palvelinohjelmistossa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Microsoft Content Management Server (MCMS) -palvelinohjelmisto on lähinnä yrityskäyttöön tarkoitettu Web-sivustojen hallintaohjelmisto. MCMS -palvelinohjelmistosta on löytynyt kolme haavoittuvuutta, joista ensimmäinen liittyy puskurinylivuoto-ongelmaan käyttäjän todennusvaiheessa. Ensimmäistä haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdetietojärjestelmässä omia komentoja tai kohdistaa kohdetietojärjestelmään palvelunestohyökkäys. Toinen haavoittuvuuksista liittyy tiedostojen siirtämiseen palvelimelle. Tätä haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista siirtää esimerkiksi suoritettava ohjelma kohdetietojärjestelmään ja suorittaa näin kohdetietojärjestelmässä omia komentoja. Kolmas haavoittuvuus liittyy MCMS -palvelinohjelmiston SQL -toimintoon. Kolmatta haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdetietojärjestelmässä komentorivitason komentoja.

HAAVOITTUVAT OHJELMISTOT:

Microsoft Content Management Server (MCMS) -palvelinohjelmisto

Haavoittuvuuksia rajoittavista tekijöistä saa lisätietoa osoitteesta:

http://www.microsoft.com/technet/security/bulletin/MS02-041.asp

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä korjaustiedostolla. Korjaustiedosto on ladattavissa osoitteesta:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41266

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/MS02-041.asp

PÄIVITYSHISTORIA:

08.08.2002: Julkaistu
Sivua päivitetty 22.08.2007   Tulostusversio Tulostusversio