Vulnerabilidades en Microsoft BizTalk Server
|
Clasificación de la vulnerabilidad
|
Propiedad |
Valor |
Nivel de Confianza |
Oficial |
Impacto |
Obtener acceso |
Dificultad |
Avanzado |
Requerimientos del atacante |
Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema
|
Propiedad |
Valor |
Fabricant afectat |
Microsoft |
Software afectado |
Microsoft BizTalk Server 2000
Microsoft BizTalk Server 2002 |
Descripción
|
Se han descubierto dos vulnerabilidades en Microsoft BizTalk Server que permiten a un atacante remoto ejecutar código arbitrario en el sistema afectado. Son las siguientes:
-Desbordamiento de búfer en el Receptor HTTP:
Existe un desbordamiento de búfer en el componente utilizado para recibir documentos HTTP que permite a un atacante remoto ejecutar código arbitrario.
-Inyección SQL en DTA:
Existe una vulnerabilidad de inyección SQL en la interfaz Web de Document Tracking and Administration (DTA) de Microsoft BizTalk Server. Este fallo puede permitir a un atacante enviar una URL maliciosa a un usuario legítimo del sistema. Si dicho usuario se dirige a la URL maliciosa se ejecutarán comandos SQL adjuntos en el código Web. |
Solución
|
Actualización de software
Microsoft BizTalk Server
Microsoft BizTalk Server 2000
http://microsoft.com/downloads/details.aspx?FamilyId=001E93E4-0E6E-4289-AEFE-9161D2E5AF97&displaylang=en
Microsoft BizTalk Server 2002
http://microsoft.com/downloads/details.aspx?FamilyId=A05344FE-2622-4887-AA45-3DE7C4ED3C75&displaylang=en |
Identificadores estándar
|
Propiedad |
Valor |
CVE |
2003-0117
2003-0118 |
BID |
NULL |
Recursos adicionales
|
Microsoft Security Bulletin MS03-016
http://www.microsoft.com/technet/security/bulletin/MS03-016.mspx
Microsoft Knowledge Base - 815206:
http://support.microsoft.com/default.aspx?scid=kb;en-us;815206 |