Vulnerabilidades en Microsoft BizTalk Server
|
Vulnerability classification
|
Property |
Value |
Confidence level |
Oficial |
Impact |
Obtener acceso |
Dificulty |
Avanzado |
Required attacker level |
Acceso remoto sin cuenta a un servicio estandar |
System information
|
Property |
Value |
Affected manufacturer |
Microsoft |
Affected software |
Microsoft BizTalk Server 2000
Microsoft BizTalk Server 2002 |
Description
|
Se han descubierto dos vulnerabilidades en Microsoft BizTalk Server que permiten a un atacante remoto ejecutar código arbitrario en el sistema afectado. Son las siguientes:
-Desbordamiento de búfer en el Receptor HTTP:
Existe un desbordamiento de búfer en el componente utilizado para recibir documentos HTTP que permite a un atacante remoto ejecutar código arbitrario.
-Inyección SQL en DTA:
Existe una vulnerabilidad de inyección SQL en la interfaz Web de Document Tracking and Administration (DTA) de Microsoft BizTalk Server. Este fallo puede permitir a un atacante enviar una URL maliciosa a un usuario legítimo del sistema. Si dicho usuario se dirige a la URL maliciosa se ejecutarán comandos SQL adjuntos en el código Web. |
Solution
|
Actualización de software
Microsoft BizTalk Server
Microsoft BizTalk Server 2000
http://microsoft.com/downloads/details.aspx?FamilyId=001E93E4-0E6E-4289-AEFE-9161D2E5AF97&displaylang=en
Microsoft BizTalk Server 2002
http://microsoft.com/downloads/details.aspx?FamilyId=A05344FE-2622-4887-AA45-3DE7C4ED3C75&displaylang=en |
Standar resources
|
Property |
Value |
CVE |
2003-0117
2003-0118 |
BID |
NULL |
Other resources
|
Microsoft Security Bulletin MS03-016
http://www.microsoft.com/technet/security/bulletin/MS03-016.mspx
Microsoft Knowledge Base - 815206:
http://support.microsoft.com/default.aspx?scid=kb;en-us;815206 |