BizTalk guarito dalla megapatch

Microsoft rilascia una patch cumulativa per il proprio server BizTalk che corregge due nuove falle di sicurezza, la più seria delle quali può consentire ad un cracker di eseguire codice a propria scelta

Redmond (USA) - Microsoft raccomanda agli amministratori di sistema sui cui sistemi gira BizTalk 2000 Server o BizTalk 2002 Server di applicare la nuova patch cumulativa descritta nel bollettino di sicurezza MS03-016.

Oltre a contenere tutti i precedenti fix di sicurezza, la megapatch corregge due nuove vulnerabilità di rischio medio e medio-alto.

La prima vulnerabilità, classificata come "important", interessa solo BizTalk Server 2002 e consiste in un buffer overrun nel componente utilizzato da BizTalk per ricevere i documenti HTTP: un aggressore, secondo quanto spiegato da Microsoft, potrebbe sfruttare la breccia per eseguire sul server vulnerabile del codice a propria scelta.
La seconda falla, classificata come "moderate", interessa entrambe le versioni di BizTalk ed è contenuta nell'interfaccia di amministrazione Document Tracking and Administration (DTA) del server: in questo caso un aggressore potrebbe guadagnare l'accesso al sistema di amministrazione attraverso l'invio al DTA di un URL malevolo eventualmente capace di eseguire del codice inglobato in una stringa SQL passata al server. Fra i fattori mitiganti Microsoft cita il fatto che normalmente gli utenti del DTA non hanno privilegi di alto livello.
TAG: microsoft
1 Commenti alla Notizia BizTalk guarito dalla megapatch
Ordina