Удаленное переполнение буфера и выполнение произвольных SQL инструкций в Microsoft BizTalk Server

Дата публикации:
05.05.2003
Всего просмотров:
717
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Две уязвимости обнаружены в Microsoft BizTalk Server. Удаленный пользователь может выполнить произвольный код на сервере. Удаленный пользователь может выполнить произвольные SQL команды на сервере.

Переполнение буфера обнаружено в BizTalk Server 2002 в ISAPI фильтре HTTP receiver. Удаленный пользователь может представить специально обработанную HTTP команду, чтобы переполнить буфер и выполнить произвольный код в контексте IIS процесса. Также уязвимость может использоваться для аварийного завершения работы IIS Web сервера. HTTP receiver по умолчанию отключен.

Уязвимость в проверке правильности ввода обнаружена в BizTalk Server 2000 и 2002 в Document Tracking и Administration (DTA) Web интерфейсе. Одна из Web страниц, используемая в DTA Web интерфейсе, не выполняет проверку входных параметров. Удаленный пользователь может сконструировать URL, содержащий SQL инструкции, который при загрузке DTA пользователем выполнить эти SQL инструкции на целевом сервере с привилегиями DTA пользователя. Удаленный пользователь может предпринимать действия на BizTalk SQL базе данных и выполнять команды операционной системы, в зависимости от привилегий DTA пользователя.

Уязвимость обнаружена в Microsoft BizTalk Server 2000, 2002

или введите имя

CAPTCHA