Sicherheitsanfälligkeit: MS09-053. Sicherheitsanfälligkeiten im FTP-Dienst für Internetinformationsdienste können Remotecodeausführung ermöglichen (975254)

MS09-053. Sicherheitsanfälligkeiten im FTP-Dienst für Internetinformationsdienste können Remotecodeausführung ermöglichen (975254)

CVE-2009-2521, CVE-2009-3023

MS09-053

Dieses Sicherheitsupdate behebt zwei öffentlich gemeldete Sicherheitsanfälligkeiten im FTP-Dienst in Microsoft Internet Information Services (IIS) 5.0, Microsoft Internet Information Services (IIS) 5.1, Microsoft Internet Information Services (IIS) 6.0 und Microsoft Internet Information Services (IIS) 7.0. Für IIS 7.0 ist nur der FTP-Dienst 6.0 betroffen. Die Sicherheitsanfälligkeiten können Remotecodeausführung (RCE) auf Systemen ermöglichen, auf denen der FTP-Dienst unter IIS 5.0 ausgeführt wird, oder Denial-of-Service (DoS) auf Systemen, auf denen der FTP-Dienst unter IIS 5.0, IIS 5.1, IIS 6.0 oder IIS 7.0 ausgeführt wird.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem geändert wird, wie Listenvorgänge im FTP-Dienst verarbeitet werden.

Dieses Sicherheits-Update behebt zwei öffentlich gemeldete Denial-of-Service-Sicherheitsanfälligkeiten im FTP-Dienst. Ein Angreifen beider Sicherheitsanfälligkeiten kann verursachen, dass der betroffene Dienst nicht mehr reagiert und automatisch neu startet. Beachten Sie, dass ein Angreifer durch die Denial-of-Service-Sicherheitsanfälligkeit keine Codes ausführen oder sich höhere Benutzerrechte verschaffen kann, das betroffene System aber keine Anforderungen mehr annimmt.

Die Sicherheitsanfälligkeiten können außerdem eine Remotecodeausführung auf Systemen mit Microsoft Windows 2000 Service Pack 4 und einen Denial of Service auf allen anderen betroffenen Plattformen ermöglichen. Ein Angreifen dieser Sicherheitsanfälligkeit in IIS 5.0 auf Microsoft Windows 2000 Service Pack 4 kann eine Remotecodeausführung im Zusammenhang mit LocalSystem ermöglichen. Ein Angreifen diese Sicherheitsanfälligkeit in IIS 5.1 und IIS 6.0 kann verursachen, dass der IIS FTP-Dienst gestoppt wird und nicht mehr reagiert.

Microsoft Betriebssysteme
IIS 5.0 (FTP Service 5.0) - Microsoft Internetinformationsdienste 5.0 auf Microsoft Windows 2000 Service Pack 4
IIS 5.1 (FTP-Dienst 5.1) - Microsoft Internetinformationsdienste 5.1 auf Windows XP Service Pack 2 und Windows XP Service Pack 3
IIS 6.0 (FTP-Dienst 6.0) - Microsoft Internetinformationsdienste 6.0 auf Windows Server 2003 Service Pack 2
IIS 6.0 (FTP-Dienst 6.0) - Microsoft Internetinformationsdienste 6.0 auf Windows Server 2003 x64 Edition Service Pack 2
IIS 6.0 (FTP-Dienst 6.0) - Microsoft Internetinformationsdienste 6.0 auf Windows Server 2003 mit SP2 für Itanium-basierte Systeme
IIS 7.0 (FTP-Dienst 6.0) - Microsoft Internetinformationsdienste 7.0 auf Windows Vista, Windows Vista Service Pack 1 und Windows Vista Service Pack 2
IIS 7.0 (FTP-Dienst 6.0) - Microsoft Internetinformationsdienste 7.0 auf Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 und Windows Vista x64 Edition Service Pack 2
IIS 7.0 (FTP-Dienst 6.0) - Microsoft Internetinformationsdienste 7.0 auf Windows Server 2008 für 32-Bit-Systeme und Windows Server 2008 für 32-Bit-Systeme Service Pack 2*
IIS 7.0 (FTP-Dienst 6.0) - Microsoft Internetinformationsdienste 7.0 auf Windows Server 2008 für x64-basierte Bit-Systeme und Windows Server 2008 für x64-basierte Systems Service Pack 2*
IIS 7.0 (FTP-Dienst 6.0) - Microsoft Internetinformationsdienste 7.0 auf Windows Server 2008 für Itanium-basierte Systeme und Windows Server 2008 für Itanium-basierte Systeme Service Pack 2

* Server Core-Installation ist betroffen. Dieses Update trifft mit dem gleichen Schweregrad auf unterstützte Editionen von Windows Server 2008 oder Windows Server 2008 R2 wie dargestellt zu, ungeachetet dessen, ob sie mit der Server Core-Installationsoption installiert wurden.