Web
Microsoft: Es gibt keine Hintertür im Web-Server
Existenz eines Universal-Passworts wird bestritten, einen Bug gäbe es jedoch
Die Aufregung um die angebliche Hintertür in Microsofts Internet-Servern beginnt sich zu legen. Der
Konzern aus Redmond hat inzwischen selbst reagiert und ein aktualisiertes Sicherheits-Bulletin
herausgegeben. Darin wird ein Problem erklärt, der durch einen Fehler in der dvwssr.dll verursacht wird.
Ein Buffer Overrun macht die Server anfällig für Denial-of-Service-Attacken; außerdem ist unter
bestimmten Bedingungen ein Zugriff auf ASP-Dateien (Active Server Pages) sowie die Ausführung
beliebigen Codes möglich. Letzteres untersuche man noch genauer und werde entsprechende Informationen
veröffentlichen, sobald man zu einem Ergebnis gekommen sei, heißt es bei Microsoft.
Es gebe aber kein geheimes Universal-Passwort, dass Fremden den vollständigen Zugriff auf einen
Web-Server ermöglicht, erklärte Microsoft zu den Berichten von Ende der Woche. Die gegen Netscape
gerichteten Kommentare in der DLL sind danach nicht geeignet, als Passwort zum Zugriff auf die Server zu
dienen. Es gebe kein allgemeines Passwort in der DLL, um die Zugriffskontrollen auszuhebeln; die
Komponente habe lediglich einen Schlüssel benutzt, um die Namen der Dateien, die der Client vom Server
anfordere, für Andere unlesbar zu machen.
Betroffen von dem eigentlichen Bug sind nach Angaben von Microsoft nur Installationen, die das Windows
NT 4.0 Option Pack, den Personal Web Server 4.0 oder die Frontpage 2000 Server Extensions, die als
Teil von FrontPage 98 ausgeliefert wurden, einsetzen. Die normalen Server Extensions aus FrontPage
2000 sind dagegen nicht fehlerhaft, ebensowenig Windows 2000, Internet Information Server 5.0 und die
Office 2000 Server Extensions.
Zur Lösung des Problems empfiehlt Microsoft entweder ein Upgrade der Software auf die nicht betroffenen
Versionen; alternativ reiche auch, die dvwssr.dll zu löschen. Es gebe danach kaum Einschränkungen in den
Funktionen der Server; einzig das so genannte Link View in Visual Interdev 1.0 könne nicht mehr genutzt
werden. Auf den einschlägigen Sicherheits-Mailinglisten wurden die Informationen von Microsoft
inzwischen bestätigt. (heise)