Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft FTP Service 7.0 for IIS 7.0
Microsoft FTP Service 7.5 for IIS 7.0
Microsoft FTP Service 7.5 for IIS 7.5
Internet Information Services 7.5

Betroffene Plattformen:

Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2

In Microsofts Internet Information Services (IIS) gibt es zwei
Schwachstellen, die im schlimmsten Fall, einem entfernten Angreifer
geschützte Informationen enthüllen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit, deren
Adressen dem Hersteller-Advisory entnommen werden können.

http://www.microsoft.com/technet/security/

CVE-2012-2531: Schwachstelle in Microsoft Internet Information Services
(IIS)

In den Microsoft Internet Information Services (IIS) gibt es eine nicht
näher beschriebene Schwachstelle. Diese besteht darin, dass IIS Log-Dateien
nicht ausreichend schützt. Ein authentifizierter, lokaler Angreifer kann so
auf eigentlich geschützte Informationen zugreifen. Die betreffende Log-Datei
wird standardmäßig nicht erstellt.

CVE-2012-2532: FTP-Command-Injection-Schwachstelle

Der FTP-Dienst der Microsoft Internet Information Services (IIS) enthält
eine nicht weiter beschriebene Schwachstelle in der Aushandlung
verschlüsselter Verbindungen (encrypted communications channels). Ein
entfernter Angreifer kann diese Schwachstelle ausnutzen, um an eigentlich
geschützte Informationen zu gelangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-2112/

Das Hersteller Advisory:
http://technet.microsoft.com/en-us/security/bulletin/ms12-073

Schwachstelle CVE-2012-2532:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2532

Schwachstelle CVE-2012-2531:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2531

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.