Juni-Patch-Day: Nur moderate Lücken

MS04-017 - Crystal Reports Web Viewer

Der in verschiedene Microsoft-Produkte integrierte Web Viewer der Reporting-Suite Crystal Reports von Business Objects weist eine Directory-Traversal-Sicherheitslücke auf. Sie beruht auf einem Fehler bei der Überprüfung von Eingaben via HTTP-Requests, der unzulässige Verzeichniswechsel ermöglicht.

Wenn auf dem attackierten System ein IIS-Webserver installiert ist, können externe Angreifer diese Schwachstelle ausnutzen, um über das Web-Interface an den Inhalt beliebiger Dateien zu gelangen oder auch Files zu löschen. Daneben sind auch Denial-of-Service-Attacken möglich.

Von der als mittelschwer eingestuften Sicherheitslücke sind drei Microsoft-Produkte betroffen. Die Entwickler-Suite Visual Studio .NET 2003 enthält eine angepasste Version des in Crystal Reports integrierten Berichts-Designers, das Laufzeitmodul und den Berichts-Viewer. Das Outlook-Add-on Business Contact Manager (BCM) wird zusammen mit Microsoft Office Small Business Edition 2003 und Microsoft Office Professional Edition 2003 ausgeliefert. Es enthält das Laufzeitmodul Crystal Reports für Visual Studio .NET 2003. Die Customer-Relationship-Management-Suite Microsoft Business Solutions CRM 1.2 schließlich umfasst das SDK von Crystal Reports Enterprise 9.0.