Множественные уязвимости в Microsoft Site Server

Microsoft Site Server упрощает организациям расширение, развертывание и управление усложненными Web-узлами. Найдено несколько уязвимостей:

1. Проблема существует в Web приложениях, которые поставляются с Site Server и которые должным образом не санируют ввод от пользователя, перед принятием его к SQL запросу. Приложения, содержащие сайты 'clocktower', 'vc30', 'mspress30' и 'market', уязвимы к внедрению SQL кода. 

2. Некоторые ASP страницы в Microsoft Site Server, уязвимы к межсайтовому скриптингу. Возможно создать ссылку к уязвимой ASP странице, которая содержит произвольный код. Код будет выполнен в браузере пользователя, просматривающего ссылку, в контексте сайта Microsoft Site Server. Уязвимые страницы требуют, чтобы законный пользователь подтвердил подлинность перед доступом к ним. Уязвимость по крайней мере позволяет нападающему захватывать опознавательные данные пользователя Microsoft Site Server , на основе куки. Известно, что к данной проблеме уязвимы страницы Default.asp и formslogin.asp, но сообщается что также проблема присутствует и в других сценариях.
Пример:
http://site_server_host/SiteServer/Knowledge/Default.asp?ctr="><script>alert("tested by securitylab.ru")</script>

http://site_srever_host/_mem_bin/formslogin.asp?"><script>alert("tested by securitylab.ru ")</script>

3. Допустимые пользователи могут использовать модуль cphost.dll, чтобы загрузить содержание для Site Server 3.0, через операцию HTTP POST. Если послана часть POST запроса созданная определенным образом, произвольные файлы могут быть загружены вне предопределенной директории, используя обход директории через последовательность символов ‘../’. Под заданной по умолчанию конфигурацией, проблема позволяет загружать произвольные файлы в каталог /Sites/Publishing/, где они будут интерпретироваться Site Serverом. Эксплуатация этой уязвимости позволяет удаленному нападающему выполнять произвольный ASP код на сервере. Это в дальнейшем может приводить к локальному доступу на системе, обращению к базе данных и повышению привилегий.

4. Допустимые пользователи могут использовать модуль cphost.dll, чтобы загрузить содержание для Site Server 3.0. В течение этого процесса, создаются временные файлы в директории C:\Temp, которая не может быть изменена. Если злонамеренный пользователь загружает содержание с параметром TargetURL больше чем 250 символов, загружающийся процесс потерпит неудачу, и временный файл не будет удален. Нападающий может эксплуатировать эту уязвимость чтобы исчерпать все доступное место на диске с:, что в конечном итоге может привести к отказу в обслуживании. 

5. К некоторым административным страницам могут обращаться непривилегированные пользователи Microsoft Site Server. Такие страницы содержат множество чувствительной информации, которая может использоваться злонамеренным пользователем, чтобы помочь в нападениях против хоста, выполняющего уязвимое программное обеспечение. Дополнительно, некоторые чувствительные страницы позволяют неадминистративным пользователям изменять данные. Все эти страницы находятся в каталоге /SiteServer/Admin/. 
Список страниц, к которым могут обращаться неадминистративные пользователи: findvserver.asp, domain.asp, driver.asp, DSN.asp, GroupManager.asp, UserManager.asp, default.asp, vs.asp, VsTmPr.asp, VsLsLpRd.asp, and VsPrAuoEd.asp.
Неадминистративные пользователи могут просматривать исходный текст, информацию, сохраненную в МЕТА тэгах, информацию о домене, информацию о драйверах, возможность изменять LDAP пользователей/группы, и т.д. В Microsoft Site Server 3.0 Commerce Edition страница driver.asp недоступна этим способом.

6. По умолчанию, учетная запись NT LDAP_Anonymous имеет предопределенный пароль и привилегии для локального входа. Microsoft исправил эту проблему, обеспечивая случайно сгенерированный пароль для анонимной учетной записи LDAP, каждый раз при запуске службы ldapsvc. Однако, уязвимость была обнаружена в пути, которым сгенерирован случайный пароль LDAP_ANONYMOUS. На системах, которые не используют, schannel.dll, “соль” для пароля LDAP_ANONYMOUS – время его генерации. Кроме того, если удаленный нападающий может обращаться к 139 порту, устанавливая нулевую NETBIOS сессию, они могут узнать приблизительное время, в которое пароль был сгенерирован. Проблема не затрагивает системы, которые ограничивают доступ к 139 порту и имеют установленный schannel.dll. Использование этой учетной записи увеличивает опасность предыдущих уязвимостей.
Уязвимость найдена в Microsoft Site Server 3.0SP4 i386