Technet Home > Security Bulletins > 2007

Microsoft Security Bulletin MS07-018

Sicherheitsanfälligkeiten in Microsoft Content Management Server können Remotecodeausführung ermöglichen (925939)

Veröffentlicht: 10. Apr 2007 | Aktualisiert: 12. Jun 2007

Version: 2.0

Zusammenfassung

Zielgruppe dieses Dokuments: Benutzer von Microsoft Content Management Server

Auswirkung der Sicherheitsanfälligkeit: Remotecodeausführung

Bewertung des maximalen Schweregrads: Kritisch

Empfehlung: Wir empfehlen Benutzern die sofortige Installation des Updates.

Ersetzung von Sicherheitsupdates: Keine

Vorsichtsmaßnahmen: Im Microsoft Knowledge Base-Artikel 924429 werden die derzeit bekannten Probleme bei der Installation dieses Sicherheitsupdates beschrieben. Im Artikel werden auch Lösungen für diese Probleme empfohlen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 924429.

Getestete Software und Downloadpfade für das Update:

Betroffene Software:

•	Microsoft Content Management Server 2001 Service Pack 1 – Update herunterladen (KB924430)
•	Microsoft Content Management Server 2002 Service Pack 2 – Update herunterladen (KB924429)

Die in der Liste aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates erhältlich oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Top of section

Allgemeine Informationen

Kurzzusammenfassung

Kurzzusammenfassung:

Dieses Update behebt zwei neue, von Privatanwendern entdeckte Sicherheitsanfälligkeiten. Jede Sicherheitsanfälligkeit wird im Abschnitt „Einzelheiten zu dieser Sicherheitsanfälligkeit“ dieses Bulletins dokumentiert.

Wir empfehlen Benutzern die sofortige Installation des Updates.

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit:

Kennungen der Sicherheitsanfälligkeit	Auswirkung der Sicherheitsanfälligkeit	Microsoft Content Management Server 2001 Service Pack 1	Microsoft Content Management Server 2002 Service Pack 2
Sicherheitsanfälligkeit in CMS bezüglich Speicherbeschädigung – CVE-2007-0938	Remotecodeausführung	Kritisch	Kritisch
Siteübergreifende Sicherheitsanfälligkeit durch Skripterstellung und Spoofing in CMS – CVE-2007-0939	Offenlegung von Informationen und Spoofing	Hoch	Hoch
Gemeinsamer Schweregrad aller Sicherheitsanfälligkeiten		Kritisch	Kritisch

Die Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Ausnutzen der Sicherheitsanfälligkeit auf sie hat.

Top of section

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Warum hat Microsoft dieses Bulletin am 12. Juni 2007 aktualisiert?
Dieses Bulletin wurde erneut veröffentlicht, um die im Microsoft Knowledge Base-Artikel 924429 zu behandeln. Das Sicherheitsupdate berücksichtigte vorher die Installationen von CMS 2002 an einem anderen Ort als dem Standardpfad nicht. Benutzer, die die ursprüngliche Version des Sicherheitsupdates installiert haben, müssten trotzdem den Anleitungen im Microsoft Knowledge Base-Artikel 924429 folgen, um die normale Funktionalität wiederzugewinnen.

Welche Updates ersetzt diese Version?
Dieses Update ersetzt kein früheres Sicherheitsupdate. Wenn Sie Content Management Server 2001 ausführen, empfehlen wir Ihnen, vor dem Installieren dieses Updates MS03-002 zu installieren.

Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) überprüfen, ob dieses Update erforderlich ist?
Die folgende Tabelle enthält die Zusammenfassung zur MBSA-Erkennung für dieses Sicherheitsupdate.

Produkt	MBSA 1.2.1	MBSA 2.0.1
Microsoft Content Management Server 2001 Service Pack 1	Ja	Nein
Microsoft Content Management Server 2002 Service Pack 2	Ja	Ja

Hinweis: MBSA 1.2.1 verwendet eine integrierte Version des Office Detection Tools (ODT), das keine Remoteüberprüfungen dieses Sicherheitsupdates unterstützt. Weitere Informationen zu MBSA finden Sie auf der MBSA-Website.

Weitere Informationen zu MBSA finden Sie auf der MBSA-Website. Weitere Informationen zu den Programmen, die Microsoft Update und MBSA 2.0.1 derzeit nicht erkennen, finden Sie im Microsoft Knowledge Base-Artikel 895660.

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 910723: Zusammenfassungsliste der monatlichen Anleitungen zur Erkennung und Bereitstellung.

Kann ich mit Systems Management Server (SMS) überprüfen, ob dieses Update erforderlich ist?
Die folgende Tabelle enthält eine Zusammenfassung zur SMS-Erkennung für dieses Sicherheitsupdate.

Produkt	SMS 2.0	SMS 2003
Microsoft Content Management Server 2001 Service Pack 1	Ja	Nein
Microsoft Content Management Server 2002 Service Pack 2	Ja	Ja

SMS 2.0 und SMS 2003 Software Update Services (SUS) Feature Pack können zur Erkennung MBSA 1.2.1 verwenden und weisen daher dieselbe Einschränkung auf, die weiter oben in diesem Bulletin bezüglich der nicht von MBSA 1.2.1 erkannten Programme aufgeführt ist.

Im Fall von SMS 2.0 kann von SMS zum Auffinden von Sicherheitsupdates das SMS SUS Feature Pack, das das Sicherheitsupdate-Inventurprogramm (SUIT) enthält, verwendet werden. SMS SUIT verwendet das MBSA 1.2.1-Programm für die Erkennung. Weitere Informationen zu SUIT finden Sie auf dieser Microsoft-Website. Weitere Informationen zu den Einschränkungen von SUIT finden Sie im Microsoft Knowledge Base-Artikel 306460. Das SMS SUS Feature Pack umfasst auch das Microsoft Office-Inventurprogramm zur Erkennung der für Microsoft Office-Anwendungen erforderlichen Updates.

Im Fall von SMS 2003 kann von SMS zum Auffinden von unter Microsoft Updates erhältlichen Sicherheitsupdates und Updates, die von Windows Server Update Services unterstützt werden, das SMS 2003-Inventurprogramm für Microsoft-Updates (ITMU) verwendet werden. Weitere Informationen zum SMS 2003-Inventurprogramm für Microsoft-Updates finden Sie auf der dieser Microsoft-Website. SMS 2003 kann auch das Microsoft Office-Inventurprogramm zur Erkennung der für Microsoft Office-Anwendungen erforderlichen Updates verwenden.

Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 910723: Zusammenfassungsliste der monatlichen Anleitungen zur Erkennung und Bereitstellung.

Top of section

Einzelheiten zu dieser Sicherheitsanfälligkeit

Sicherheitsanfälligkeit in CMS bezüglich Speicherbeschädigung – CVE-2007-0938:

In Content Management Server liegt eine Sicherheitsanfälligkeit vor, die eine Remotecodeausführung ermöglichen kann und durch die Art der Verarbeitung einer speziell gestalteten HTTP-Anforderung verursacht wird.

Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit in CMS bezüglich Speicherbeschädigung – CVE-2007-0938:

•	Der W3WP.exe-Workerprozess ist unter Microsoft Internetinformationsdienste 6.0 standardmäßig ein Prozess mit niedrigen Berechtigungen, der als integriertes Netzwerkdienstkonto ausgeführt wird. Hinweis: Dies trifft nur für Content Management Server 2002 zu.
•	Benutzer, die Microsoft Content Management Server-Websites (MCMS) in ihren eigenen Anwendungspools konfiguriert haben, um sie von anderen Websites zu isolieren, können die Auswirkung eines Angriffs einschränken.

Top of section

Problemumgehungen für die Sicherheitsanfälligkeit in CMS bezüglich Speicherbeschädigung – CVE-2007-0938:

Für diese Sicherheitsanfälligkeit gibt es bislang keine Problemumgehungen.

Top of section

Häufig gestellte Fragen zur Sicherheitsanfälligkeit in CMS bezüglich Speicherbeschädigung – CVE-2007-0938:

Worin genau besteht diese Sicherheitsanfälligkeit?
In Content Management Server liegt eine Sicherheitsanfälligkeit vor, die eine Remotecodeausführung ermöglichen kann und durch die Art der Verarbeitung einer speziell gestalteten HTTP-Anforderung verursacht wird. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er von einem Remotestandort aus die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit kann eine Remotecodeausführung verursachen, die auf die Art der Verarbeitung unerwarteter Zeichen in einer HTTP-Anforderung durch Microsoft Content Management Server zurückzuführen ist.

Was ist Microsoft Content Management Server?
Microsoft Content Management Server (MCMS) ermöglicht Benutzern das Erstellen, Bereitstellen und Warten von Websites. Mit MCMS können Benutzer Webinhalte erstellen, veröffentlichen und verwalten sowie die auf der Site verfügbaren Serverressourcen verwalten.

Ich verwende Microsoft Content Management Server 2001und habe die Datei ManualLogin.asp angepasst. Muss ich noch weitere Schritte durchführen?
Mit diesem Sicherheitsupdate wird ManualLogin.asp nicht aktualisiert. Daher bleiben alle Anpassungen erhalten, die an dieser Seite vorgenommen werden, nachdem dieses Update installiert wurde. Wir empfehlen immer noch, angepasste ASP-Seiten zu sichern, bevor eine Website gewartet wird.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er vollständige Kontrolle über das betroffene System erlangen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte versuchen, die Sicherheitsanfälligkeit auszunutzen, indem er eine speziell gestaltete URL erstellt und eine HTTP GET-Anforderung an ein CMS-System sendet.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Websites, die mit einer betroffenen Version von Microsoft Content Management Server gewartet werden.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem die Art der Überprüfung von HTTP-Anforderungen durch Content Management Server geändert wird.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Top of section

Siteübergreifende Sicherheitsanfälligkeit durch Skripterstellung und Spoofing in CMS – CVE-2007-0939:

In Microsoft Content Management Server (MCMS) besteht eine standortübergreifende Scripting- und Spoofing-Sicherheitsanfälligkeit, die es einem Angreifer ermöglichen könnte, einen Benutzer zur Ausführung eines gefährlichen Skripts zu verleiten. Dabei wird das gefährliche Skript im Sicherheitskontext des Benutzers ausgeführt. Für die Ausnutzung dieser Sicherheitsanfälligkeit ist eine Benutzeraktion erforderlich. Durch die Sicherheitsanfälligkeit könnte es einem Angreifer gelingen, auf beliebige Daten auf den betroffenen Systemen zuzugreifen, die dem jeweiligen Benutzer zugänglich sind.

Zudem ist es einem Angreifer möglich, durch Ausnutzen dieser Sicherheitsanfälligkeit Änderungen an Webbrowsercaches und vorläufigen Proxyservercaches vorzunehmen und darin gefälschte Inhalte zu speichern.

Schadensbegrenzende Faktoren für die siteübergreifende Sicherheitsanfälligkeit durch Skripterstellung und Spoofing in CMS – CVE-2007-0939:

•	Die Sicherheitsanfälligkeit kann nicht automatisch über E-Mail ausgenutzt werden. Ein Benutzer muss auf einen in einer E-Mail-Nachricht gesendeten Weblink klicken, damit ein Angriff erfolgreich ist.
•	Für einen erfolgreichen Angriff muss der Benutzer dazu verleitet werden, auf die speziell vom Angreifer gestaltete URL zu klicken, sodass der Angreifer Zugriff auf den CMS-Webserver erhält.
•	Ein Angreifer, der den standortübergreifenden Scriptingaspekt dieser Sicherheitsanfälligkeit erfolgreich ausnutzt, erhält die gleichen Berechtigungen wie der Benutzer.
•	Für Clients, bei denen die erweiterte Internetoption Verschlüsselte Seiten nicht auf der Festplatte speichern in Internet Explorer aktiviert ist, besteht beim Zugriff auf die Website über das SSL-Protokoll (Secure Sockets Layer) kein Risiko, dass ein Angreifer gefälschte Inhalte im Clientcache speichert.
•	Clients, die über die SSL-Verschlüsselung auf die betroffenen Websites zugreifen, sind nicht dem Risiko ausgesetzt, dass gefälschte Inhalte in vorläufigen Proxyservercaches gespeichert werden. Dies liegt daran, dass SSL-Sitzungsdaten verschlüsselt und nicht auf Proxyservern zwischengespeichert werden.
•	Wenn gefälschte Inhalte in einem Proxyservercache zwischengespeichert werden, ist es für einen Angreifer schwierig vorherzusagen, welche Benutzer die gefälschten, zwischengespeicherten Inhalte erreichen.

Top of section

Problemumgehungen für die siteübergreifende Sicherheitsanfälligkeit durch Skripterstellung und Spoofing in CMS – CVE-2007-0939:

Microsoft hat die folgende Problemumgehung getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn eine Problemumgehung die Funktionalität verringert, wird diese Einschränkung im folgenden Abschnitt genannt.

•

Durch das Festlegen einer MCMS-Site auf „Ja – Schreibgeschützt“ wird die Inhaltsbearbeitung und der Zugriff auf diesen MCMS-Server-Einstiegspunkt vom Website-Manager deaktiviert

Durch das Festlegen einer MCMS-Site auf Ja – Schreibgeschützt wird die Inhaltsbearbeitung und der Zugriff auf diesen MCMS-Server-Einstiegspunkt vom Website-Manager zwar deaktiviert, es werden jedoch keine Dateien aus dem Dateisystem entfernt. Wenn Sie zum Ändern der Einstellungen auf einer schreibgeschützten MCMS-Site das Website-Manager-Tool verwenden, müssen Sie die Site zunächst in der Webserverkonfiguration auf Lesen und Schreiben einrichten.
Ist eine MCMS-Site schreibgeschützt, können clientseitige SDAPI (bzw. Website-Manager) nicht zum Bereitstellen von Inhalt verwendet werden. Auf einer schreibgeschützten Site müssen Sie zum Bereitstellen von Inhalt serverseitige SDAPI verwendet werden, sofern Sie nicht über einen separaten Webeinstiegspunkt zum Lesen und Schreiben verfügen.

Gehen Sie wie folgt vor, um die MCMS-Site auf „Ja – Schreibgeschützt“ zu ändern:

1.	Klicken Sie auf Start, anschließend auf Programme und dann auf Microsoft Content Management Server.
2.	Klicken Sie auf Server Configuration Application.
3.	Klicken Sie auf die Registerkarte Web, und wählen Sie danach die Option Konfigurieren aus.
4.	Klicken Sie im Dialogfeld für die MCMS-Website, die Sie konfigurieren möchten, auf Ja – Schreibgeschützt.
5.	Klicken Sie auf OK, um die Änderungen zu speichern.

Auswirkung der Problemumgehung: Benutzer können nun weder über MCMS Web Author noch über Website-Manager Inhalte bearbeiten, da sie sich nicht mit Bearbeitungsrechten am MCMS-Server anmelden können.

Top of section

Häufig gestellte Fragen zur siteübergreifenden Sicherheitsanfälligkeit durch Skripterstellung und Spoofing in Microsoft Content Management Server – CVE-2007-0939:

Worin genau besteht diese Sicherheitsanfälligkeit?
In Microsoft Content Management Server (MCMS) liegt eine Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung und Spoofing vor. Durch die Sicherheitsanfälligkeit kann ein clientseitiges Skript im Browser des Benutzers eingeschleust werden. In einem webbasierten Angriffsszenario könnte eine manipulierte Website von Benutzern bereitgestellte Inhalte oder Werbemitteilungen mit speziell gestalteten Inhalten akzeptieren oder hosten, mit den diese Sicherheitsanfälligkeit ausgenutzt werden kann.

Das Skript könnte im Namen des Benutzers Maßnahmen ergreifen, zu deren Durchführung die Website berechtigt ist. Dies könnte z. B. Folgendes beinhalten: Überwachen der Websitzung und Weiterleiten von Informationen an Dritte, Ausführen fremden Codes auf dem System des Benutzers und das Erstellen von Cookies.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit in Bezug auf siteübergreifende Skripterstellung (XSS) wird vom Microsoft Content Management Server verursacht, da Eingaben für eine HTML-Umleitungsabfrage nicht umfassend überprüft werden, bevor sie an den Browser gesendet werden.

Was ist siteübergreifende Skripterstellung?
Die siteübergreifende Skripterstellung (XSS) ist eine Sicherheitsanfälligkeitsklasse, die es einem Angreifer ermöglichen kann, Skriptcode in die Websitesitzung eines Benutzers einzuschleusen. Von der Sicherheitsanfälligkeit können Webserver betroffen sein, die dynamisch HTML-Seiten generieren. Wenn diese Server Browsereingaben in den dynamischen Seiten einbetten, die sie an den Browser zurücksenden, können die Server manipuliert werden, schädliche Inhalte in die dynamischen Seiten aufzunehmen, sodass ein schädliches Skript ausgeführt werden kann. Webbrowser können dieses Problem ausweiten, da sie von „vertrauenswürdigen“ Sites ausgehen und Cookies verwenden, um die besuchten Websites stets im gewohnten Zustand zu erhalten. Bei einem XSS-Angriff werden keine Websiteinhalte modifiziert. Stattdessen wird ein neues, schädliches Skript eingefügt, das im Browser im Kontext ausgeführt werden kann, der mit einem vertrauenswürdigen Server verknüpft ist.

Wie funktioniert siteübergreifende Skripterstellung?
Webseiten enthalten Text- und HTML-Markups, die vom Server erzeugt und vom Client interpretiert werden. Wenn also nicht vertrauenswürdige Inhalte in eine dynamische Seite eingeschleust werden, verfügen weder Server noch Client über ausreichend Informationen, um die eingeschleusten Inhalte zu erkennen und Schutzmaßnahmen zu ergreifen.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte ein clientseitiges Skript im Browser des Benutzers einschleusen. Das Skript könnte Inhalte vortäuschen, Informationen offen legen oder Aktionen ausführen, die ein Benutzer auf der betroffenen Website vornehmen kann. Für die Ausnutzung dieser Sicherheitsanfälligkeit ist eine Benutzeraktion erforderlich. Der Angreifer könnte zudem durch Ausnutzen der Sicherheitsanfälligkeit Änderungen an Webbrowsercaches und vorläufigen Proxyservercaches vornehmen und darin gefälschte Inhalte speichern.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
In einem E-Mail-Angriffsszenario könnte ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, indem er an einen Benutzer eines Servers, der eine betroffene Softwareanwendung ausführt, eine speziell gestaltete E-Mail-Nachricht sendet. Der Angreifer könnte den Benutzer dazu verleiten, in der E-Mail-Nachricht auf einen Link zu klicken.

In einem webbasierten Angriffsszenario könnte ein Angreifer mit einer manipulierten Webanwendung ein clientseitiges Skript im Browser des Benutzers einschleusen. Das Skript könnte Inhalte vortäuschen, Informationen offen legen oder Aktionen ausführen, die ein Benutzer auf der betroffenen Website vornehmen kann. Für die Ausnutzung dieser Sicherheitsanfälligkeit ist eine Benutzeraktion erforderlich.

Der Angreifer könnte zudem durch Ausnutzen der Sicherheitsanfälligkeit Änderungen an Webbrowsercaches und vorläufigen Proxyservercaches vornehmen und darin gefälschte Inhalte speichern.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Websites, die mit einer betroffenen Version von Microsoft Content Management Server gewartet werden.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Ja. Ein Angreifer könnte diese Sicherheitsanfälligkeit über das Internet ausnutzen. Ein Angreifer müsste den vollständigen Namen des CMS-Servers kennen, der das Ziel eines Angriffs ist.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem die Art der Überprüfung von HTTP-Umleitungsabfragen durch Content Management Server geändert wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich bekannt war. Dieses Security Bulletin befasst sich mit einer von einem Privatanwender gemeldeten Sicherheitsanfälligkeit sowie mit zusätzlichen Problemen, die bei internen Untersuchungen festgestellt wurden.

Top of section

Informationen zum Sicherheitsupdate

Betroffene Software:

Informationen zum jeweiligen Sicherheitsupdate für Ihre betroffene Software finden Sie im entsprechenden Abschnitt:

Content Management Server

Voraussetzungen und zusätzliche Updateinformationen

Wichtig: Stellen Sie vor der Installation von dieses Updates sicher, dass folgende Anforderungen erfüllt wurden:

•	Wenn Sie Content Management Server 2001 installieren möchten, muss das Service Pack 1 installiert sein. Bevor Sie dieses Update installieren, installieren Sie Content Management Server 2001 Service Pack 1.
•	Wenn Sie Content Management Server 2002 installieren möchten, muss das Service Pack 2 installiert sein. Bevor Sie dieses Update installieren, installieren Sie Content Management Server 2002 Service Pack 2.
•	Wir empfehlen Benutzern von Content Management Server 2001 Service Pack 1, vor dem Installieren dieses Updates MS03-002 zu installieren.

Aufnahme in zukünftige Service Packs:

Es sind keine künftigen Service Packs für Content Management Server 2001 oder Content Management Server 2002 geplant, Service Pack 2 ist das letzte Service Pack.

Neustartanforderung

Damit nicht unbedingt ein Neustart ausgeführt werden muss, beenden Sie alle betroffenen Dienste, und schließen Sie alle Anwendungen, die auf die betroffenen Dateien zugreifen, bevor Sie das Sicherheitsupdate installieren. Weitere Informationen zu möglichen Gründen für einen Neustart des Computers finden Sie im Microsoft Knowledge Base-Artikel 887012.

Informationen zur Deinstallation

Nach der Installation des Updates kann dieses nicht mehr entfernt werden. Um zu einer Installation zurückzukehren, die vor der Updateinstallation aktuell war, müssen Sie die Anwendung entfernen und die Anwendung dann erneut von der Original-CD installieren.

Top of section

Informationen zur automatisierten Installation

Microsoft Update-Website

Dieses Update ist auf der Microsoft Update-Website verfügbar. Microsoft Update bietet Zugriff auf über Windows Update oder Office Update zur Verfügung gestellte Updates. Außerdem können Sie die automatische Zustellung und Installation von Updates mit hoher Priorität und von Sicherheitsupdates aktivieren. Wir empfehlen, das Update über die Microsoft Update-Website zu installieren. Die Microsoft Update-Website erkennt Ihre individuelle Installation und fordert Sie auf, genau die Updates zu installieren, die für eine Aktualisierung erforderlich sind.

Wenn Sie wünschen, dass die Microsoft Update-Website die erforderlichen Updates erkennt, die Sie auf Ihrem Computer installieren, besuchen Sie die Microsoft Update-Website. Sie können wählen zwischen Schnellsuche (Empfohlen) und Benutzerdefinierte Suche. Nachdem die Erkennung abgeschlossen ist, erhalten Sie eine Liste der empfohlenen Updates zur Bestätigung. Klicken Sie auf Updates installieren oder Updates anzeigen und installieren, um den Vorgang abzuschließen.

Top of section

Informationen zur Installation

Wenn Sie Ihre Anwendung von einer Serverfreigabe installiert haben, muss der Serveradministrator die Serverfreigabe mit dem Administratorupdate aktualisieren und dieses Update dann für Ihren Computer bereitstellen.

Informationen zur Installation

Die folgenden Installationsoptionen gelten für Administratorinstallationen, da sie einem Administrator ermöglichen, anzupassen, auf welche Weise die Dateien aus dem Sicherheitsupdate extrahiert werden.

Das Sicherheitsupdate unterstützt folgende Installationsoptionen für Content Management Server 2001 Service Pack 1:

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/q	Gibt den stillen Modus an oder unterdrückt Eingabeaufforderungen beim Extrahieren von Dateien.

Das Sicherheitsupdate unterstützt folgende Installationsoptionen für Content Management Server 2002 Service Pack 1:

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/q	Gibt den stillen Modus an oder unterdrückt Eingabeaufforderungen beim Extrahieren von Dateien.
/q:u	Gibt den stillen Benutzermodus an, bei dem dem Benutzer einige Dialogfelder angezeigt werden.
/q:a	Gibt den stillen Administratormodus an, bei dem dem Benutzer keine Dialogfelder angezeigt werden.
/t:Pfad	Gibt den Zielordner für das Extrahieren von Dateien an.
/c	Extrahiert die Dateien, ohne diese zu installieren. Wenn /t:Pfad nicht angegeben wird, werden Sie aufgefordert, einen Zielordner anzugeben
/c:Pfad	Ersetzt den vom Verfasser festgelegten Installationsbefehl. Gibt den Pfad und Namen der Datei „Setup.inf“ oder „Setup.exe“ an.
/r:n	Neustart des Computers nach der Installation niemals durchführen.
/r:I	Fordert den Benutzer auf, den Computer neu zu starten, wenn ein Neustart erforderlich ist. Ausnahme: Die Option wird zusammen mit /q:a verwendet.
/r:a	Startet den Computer nach der Installation immer neu.
/r:s	Startet den Computer nach der Installation ohne Benutzeraufforderung neu.
/n:v	Keine Versionsüberprüfung – das Programm wird ggf. über eine frühere Version installiert.

Hinweis: Diese Optionen funktionieren möglicherweise nicht mit allen Updates. Ist eine Option nicht verfügbar, ist diese Funktionalität für die ordnungsgemäße Installation des Updates erforderlich. Die Verwendung der Option /n:v wird nicht unterstützt und kann zu einem nicht mehr startfähigen System führen. Wenn die Installation nicht erfolgreich ist, sollten Sie sich an Ihren Supportexperten wenden, um Informationen über die Ursache der fehlgeschlagenen Installation zu erhalten.

Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 197147.

Informationen zur Bereitstellung

1.	Laden Sie das Sicherheitsupdate für Content Management Server 2001 Service Pack 1 oder Content Management Server 2002 Service Pack 2 herunter.
2.	Klicken Sie auf Das Programm speichern, und klicken Sie dann auf OK.
3.	Klicken Sie auf Speichern.
4.	Navigieren Sie mithilfe von Windows Explorer zu dem Ordner, der die gespeicherte Datei enthält, und doppelklicken Sie auf die gespeicherte Datei.
5.	Wenn Sie aufgefordert werden, das Update zu installieren, klicken Sie auf Ja.
6.	Klicken Sie auf Ja, um der Lizenzvereinbarung zuzustimmen.
7.	Legen Sie die Original-CD-ROM ein, wenn Sie dazu aufgefordert werden, und klicken Sie dann auf OK.
8.	Wenn Sie eine Meldung erhalten, die besagt, dass die Installation erfolgreich war, klicken Sie auf OK.

Informationen zur Installationsdatei

Die englische Version dieses Updates besitzt die Dateiattribute, die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools „Datum und Uhrzeit“ in der Systemsteuerung.

Content Management Server 2001 Service Pack 1:

Dateiname	Version	Datum	Uhrzeit	Größe
Aesecurityclient.dll	4.10.1157.0	09-Nov-2006	00:30	124.704
Aesecurityservice.exe	4.10.1157.0	09-Nov-2006	00:30	154.400
Aeserverobject.dll	4.10.1157.0	09-Nov-2006	00:30	1.157.400
Ncaspextensions.dll	4.10.1157.0	09-Nov-2006	00:30	117.536
Nrmsgres.dll	4.10.1157.0	09-Nov-2006	00:30	160.016
Reauthfilt.dll	4.10.1157.0	09-Nov-2006	00:30	50.448
Resolutionobjectmodel.dll	4.10.1157.0	09-Nov-2006	00:30	1.133.352
Serverconfigurationapi.dll	4.10.1157.0	09-Nov-2006	00:30	641.320

Content Management Server 2002 Service Pack 2:

Dateiname	Version	Datum	Uhrzeit	Größe
Activexediting.vbs		30-Jan-2007	20:47	17.857
Aejavaproxy.dll	5.0.4484.0	24-Okt-2003	10:33	1.994.752
Aeserverobject.dll	5.0.5317.0	30-Jan-2007	21:14	1.193.472
Authformclientie.js		30-Jan-2007	20:47	7.422
Cms2002.xml		26-Feb-2007	21:39	7.972
Console.js		30-Jan-2007	20:47	9.501
Emitterthineditie_activex.inc		30-Jan-2007	23:05	24.371
Hlink.js		30-Jan-2007	20:47	5.204
Microsoft.contentmanagement.common.dll	5.0.5317.0	30-Jan-2007	21:13	57.344
Microsoft.contentmanagement.developertools.visualstudio.dll	5.0.5317.0	30-Jan-2007	21:17	126.976
Microsoft.contentmanagement.webauthor.dll	5.0.5317.0	30-Jan-2007	21:15	397.312
Microsoft.contentmanagement.webcontrols.dll	5.0.5317.0	30-Jan-2007	21:15	204.800
Ncaspextensions.dll	5.0.5317.0	30-Jan-2007	21:13	164.864
Ncbmprdr.dll	5.0.5317.0	30-Jan-2007	21:13	149.504
Nrdcapplication.exe	5.0.0.5317	30-Jan-2007	21:18	2.240.608
Nrdhtml.cab		30-Jan-2007	21:30	233.743
Nrsitedeployclient.dll	5.0.5317.0	30-Jan-2007	21:15	588.800
Nrsitedeployserver.dll	5.0.5317.0	30-Jan-2007	21:15	2.051.072
Resolutionobjectmodel.dll	5.0.5317.0	30-Jan-2007	21:14	1.485.312

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer

Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Weitere Informationen finden Sie weiter oben in diesem Bulletin im Abschnitt „Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate“ unter „Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) überprüfen, ob dieses Update erforderlich ist?“

•

Überprüfung der Dateiversion

Hinweis: Da mehrere Versionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen.

1.	Klicken Sie auf Start und dann auf Suchen.
2.	Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner.
3.	Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen.
4.	Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften. Hinweis: Je nach Betriebssystemversion oder installiertem Programm werden einige der Dateien, die in der Tabelle mit den Dateiinformationen aufgeführt sind, möglicherweise nicht installiert.
5.	Ermitteln Sie mithilfe der Registerkarte Version die Version der Datei, die auf Ihrem Computer installiert ist, indem Sie diese mit der Version vergleichen, die in der entsprechenden Dateiinformationstabelle aufgeführt wird. Hinweis: Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

Top of section

Danksagungen

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

•	Martyn Tovey von Netcraft für den Hinweis auf die siteübergreifende Sicherheitsanfälligkeit durch Skripterstellung und Spoofing im Microsoft Content Management-Dienst – (CVE-2007-0939)

Weitere Sicherheitsupdates:

Updates für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:

•	Sicherheitsupdates sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Suche nach dem Begriff „security_patch“ oder „security_update“ ermittelt werden.
•	Updates für Kundenplattformen können Sie auf der Microsoft Update-Website abrufen.

Support:

•	Technischer Support ist über die Microsoft Support Services erhältlich. Supportanrufe zu Sicherheitsupdates sind kostenlos.
•	Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Supportanfragen zu Sicherheitsupdates sind kostenlos. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der International Support-Website.

Sicherheitsressourcen:

•	Die Website TechNet Sicherheit bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.
•	TechNet Update Management Center
•	Microsoft Software Update Services
•	Microsoft Windows Server Update Services
•	Microsoft Baseline Security Analyzer (MBSA)
•	Windows Update
•	Microsoft Update
•	Windows Update-Katalog: Weitere Informationen zum Windows Update-Katalog finden Sie im Microsoft Knowledge Base-Artikel 323166.
•	Office Update

Software Update Services:

Mit den Microsoft Software Update Services (SUS) können Sie als IT-Administrator neue wichtige Updates, Hotfixes oder Patches schnell und zuverlässig auf den Servern und Desktop-Computern in Ihrem Netzwerk bereitstellen. Die SUS unterstützen die Produkte der Windows 2000 Server- und Windows Server 2003-Familie sowie Windows 2000 Professional und Windows XP Professional.

Weitere Informationen zum Bereitstellen von Sicherheitsupdates mithilfe der Software Update Services finden Sie auf der Software Update Services-Website.

Windows Server Update Services:

Mithilfe der Windows Server Update Services (WSUS) können Administratoren die neuesten wichtigen Aktualisierungen und Sicherheitsupdates für Windows 2000 und später, Office XP und später, Exchange Server 2003 und SQL Server 2000 schnell und zuverlässig bereitstellen.

Weitere Informationen zum Bereitstellen von Sicherheitsupdates mithilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website.

Systems Management Server:

Der Systems Management Server (SMS) von Microsoft stellt eine wertvolle Hilfe beim Bereitstellen von Sicherheitsupdates in Ihrer IT-Umgebung dar. Durch die Verwendung von SMS können Administratoren auf Windows basierte Systeme identifizieren, für die Sicherheitsupdates erforderlich sind, und für eine kontrollierte Bereitstellung dieser Updates im gesamten Unternehmen bei minimalen Unterbrechungen für Endbenutzer sorgen. Hierbei handelt es sich zum Beispiel um das SMS 2003 Software Update Services Feature Pack und das SMS 2003 Administration Feature Pack. Benutzer von SMS 2.0 können auch die Website Software Updates Service Feature Pack besuchen, um Hilfe bei der Bereitstellung von Sicherheitsupdates zu erhalten. Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Hinweis: SMS nutzt den Microsoft Baseline Security Analyzer, das Microsoft Office Detection Tool und das Enterprise Update Scan Tool, um eine breite Unterstützung bei der Erkennung und der Bereitstellung von Security Bulletin-Updates bereitzustellen. Einige Softwareupdates werden von diesen Tools möglicherweise nicht erkannt. Administratoren können in diesen Fällen die Inventurfunktionen von SMS nutzen, um Updates auf ausgewählten Systemen zu installieren. Weitere Informationen hierzu finden Sie auf dieser Website. Bei einigen Sicherheitsupdates, die einen Neustart des Systems erfordern, sind unter Umständen administrative Rechte nötig. Administratoren können das im SMS 2003 Administration Feature Pack und im SMS 2.0 Administration Feature Pack enthaltene Elevated Rights Deployment Tool verwenden, um diese Updates zu installieren.

Haftungsausschluss:

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

•	V1.0 (10. April 2007): Bulletin veröffentlicht.
•	V1.1 (1. Mai 2007): Aktualisierung des Bulletins. Vorsichtsmaßnahmen, die im Microsoft Knowledge Base-Artikel 924429 identifiziert wurden, werden die derzeit bekannten Probleme bei der Installation dieses Sicherheitsupdates beschrieben.
•	V2.0 (12. Juni 2007): Aktualisierung das Bulletins: Dieses Bulletin wurde erneut veröffentlicht, um die im Microsoft Knowledge Base-Artikel 924429 beschriebenen Probleme zu behandeln.

Zum Seitenbeginn