Boletines de Vulnerabilidades |
Vulnerabilidades en Microsoft BizTalk Server |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Microsoft |
Software afectado |
Microsoft BizTalk Server 2000 Microsoft BizTalk Server 2002 |
Descripción |
|
Se han descubierto dos vulnerabilidades en Microsoft BizTalk Server que permiten a un atacante remoto ejecutar código arbitrario en el sistema afectado. Son las siguientes: -Desbordamiento de búfer en el Receptor HTTP: Existe un desbordamiento de búfer en el componente utilizado para recibir documentos HTTP que permite a un atacante remoto ejecutar código arbitrario. -Inyección SQL en DTA: Existe una vulnerabilidad de inyección SQL en la interfaz Web de Document Tracking and Administration (DTA) de Microsoft BizTalk Server. Este fallo puede permitir a un atacante enviar una URL maliciosa a un usuario legítimo del sistema. Si dicho usuario se dirige a la URL maliciosa se ejecutarán comandos SQL adjuntos en el código Web. |
|
Solución |
|
Actualización de software Microsoft BizTalk Server Microsoft BizTalk Server 2000 http://microsoft.com/downloads/details.aspx?FamilyId=001E93E4-0E6E-4289-AEFE-9161D2E5AF97&displaylang=en Microsoft BizTalk Server 2002 http://microsoft.com/downloads/details.aspx?FamilyId=A05344FE-2622-4887-AA45-3DE7C4ED3C75&displaylang=en |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
2003-0117 2003-0118 |
BID | |
Recursos adicionales |
|
Microsoft Security Bulletin MS03-016 http://www.microsoft.com/technet/security/bulletin/MS03-016.mspx Microsoft Knowledge Base - 815206: http://support.microsoft.com/default.aspx?scid=kb;en-us;815206 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-05-06 |