[SECURITY-L] MS libera correção para bugs no Content Management Server

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Qui Ago 8 12:26:16 -03 2002 

----- Forwarded message from Paulo Serrano <pserrano em ccuec.unicamp.br> -----

From: "Paulo Serrano" <pserrano em ccuec.unicamp.br>
Subject: MS libera correção para bugs no Content Management Server 
To: <daniela em ccuec.unicamp.br>
Date: Thu, 8 Aug 2002 11:58:19 -0300
X-Mailer: Microsoft Outlook CWS, Build 9.0.2416 (9.0.2911.0)


Fonte: IDGNow
Quinta-feira, 8 de Agosto de 2002 - 10h32

A Microsoft liberou um pacote de correções para três vulnerabilidades - uma
das quais considerada "crítica" - no Content Management Server 2001, um
software para servidor voltado para a criação e manutenção de sites na Web.
O aplicativo é tipicamente instalado em servidores que rodam os seguintes
programas da desenvolvedora: Internet Information Server 5.0 para servidores
Web, e SQL Server 7.0 ou 2000.

A mais grave das falhas está situada numa função de autenticação do usuário
na aplicação. O bug permite que hackers ganhem o controle da máquina que
contém o software, inserindo dados maliciosos em uma página da Internet que
utiliza essa função de autenticação. À medida que o usuário instala o
URLscan, uma ferramenta recomendada pela Microsoft, ele protegerá os
servidores que rodam no Content Management Server 2001 de possíveis
invasores.

Uma segunda vulnerabilidade no software pode ser encontrada em um recurso de
apresentação de aplicações multimídia online. Um hacker pode enviar um
programa para o servidor Web e executá-lo. A empresa afirma que essa falha
não permitirá que o hacker controle o servidor por causa dos recursos de
segurança incluídos no software da Microsoft, mas esse pode ser um ponto de
partida para que ele ganhe privilégios adicionais.

A terceira vulnerabilidade, que foi agora corrigida pelos recursos
existentes no banco de dados do Content Management Server 2001, permitiria
que hackers invadissem o banco de dados para rodar determinados comandos do
sistema operacional.

A Microsoft está incentivando que os usuários do programa instalem o patch
"imediatamente". Mais informações podem ser encontradas no boletim de
segurança HYPERLINK
"http://www.microsoft.com/technet/security/bulletin/MS02-041.asp"
\nMS02-041.

Paulo Serrano
GTTEC/CCUEC-Unicamp

"Heart is the engine of your body but Brain is the engine of Life"

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L