Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2003 > CERT-FI haavoittuvuustiedote 078/2003

CERT-FI haavoittuvuustiedote 078/2003

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

12.11.2003

Haavoittuvuuksia Microsoft FrontPage Extensions -laajennuksessa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Microsoft FrontPage Server Extension -laajennus on kokoelma työkaluja, joita käytetään mm. WWW-sivujen hallintaan ja ylläpitoon. Microsoft FrontPage Extensions -laajennuksesta on löydetty kaksi puskuriylivuoto-haavoittuvuutta.

Haavoittuvuuksista ensimmäinen liittyy FrontPage Server Extension -laajennuksen etäkäytettävään Debug-rajapintaan. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä haluamaansa koodia tietojärjestelmän paikallisilla oikeuksilla tai kohdistaa kohdetietojärjestelmään palvelunestohyökkäys.

Haavoittuvuuksista toinen liittyy Microsoft FrontPage Server Extension -laajennuksen sisältämään SmartHTML-tulkin toiminnallisuuteen. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista kohdistaa kohdetietojärjestelmään palvelunestohyökkäys.

Microsoft on luokitellut haavoittuvuudet Critical -luokkaan.

HAAVOITTUVAT OHJELMISTOT:

  • Microsoft Windows 2000 Service Pack 2, Service Pack 3

  • Microsoft Windows XP, Microsoft Windows XP Service Pack 1

  • Microsoft Office XP, Microsoft Office XP Service Release 1

Selvitä tietojärjestelmän FrontPage Server Extension -laajennuksen versio seuraavan ohjeen avulla:

http://www.microsoft.com/security/security_bulletins/20031111_fpse.asp

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä korjaustiedostolla, joka on ladattavissa osoitteesta:

http://www.microsoft.com/technet/security/bulletin/ms03-051.asp

Microsoft Windows XP -käyttöjärjestelmässä FrontPage Server Extension -laajennus ei ole oletuksena käytössä. Yleisohjeena CERT-FI suosittelee kaikkien niiden palveluiden sulkemista, joiden käyttö ei ole välttämätöntä.

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/ms03-051.asp

http://support.microsoft.com/default.aspx?scid=KB;EN-US;813360&

http://www.microsoft.com/security/security_bulletins/20031111_fpse.asp

PÄIVITYSHISTORIA:

12.11.2003: Julkaistu
Sivua päivitetty 30.07.2007   Tulostusversio Tulostusversio