miércoles, 30 de abril de 2003

Actualización acumulativa para Microsoft BizTalk Server

Microsoft publica una actualización acumulativa para los servidores
BizTalk 2000 y 2002, que además cubre dos nuevas vulnerabilidades que
afectan a estos productos.

La primera de las nuevas vulnerabilidades solo afecta a Microsoft
BizTalk Server 2002. BizTalk Server 2002 proporciona la capacidad de
intercambiar documentos a través del protocolo HTTP. Existe un
desbordamiento de búfer en el componente empleado para recibir
documentos HTTP - el receptor HTTP - y puede resultar en que un
atacante puede llegar a ejecutar código arbitrario en el servidor
afectado.

La segunda de las vulnerabilidades afecta a ambas versiones de los
servidores BizTalk. BizTalk Server proporciona a los administradores
la posibilidad de controlar los documentos a través de un interfaz web
conocido como Document Tracking and Administration (DTA). Existe una
vulnerabilidad de inyección SQL en algunas de las páginas empleadas
por DTA que puede permitir a un atacante el envío de una URL
modificada a un usuario autorizado de DTA. Si el usuario accede a la
URL enviada por el atacante, se podrá ejecutar la consulta SQL
introducida en la URL.

Microsoft publica los siguientes parches:

Microsoft BizTalk Server 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=001E93E4-0E6E-4289-AEFE-9161D2E5AF97&displaylang=en

Microsoft BizTalk Server 2002:
http://microsoft.com/downloads/details.aspx?FamilyId=A05344FE-2622-4887-AA45-3DE7C4ED3C75&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS03-016
Cumulative Patch for BizTalk Server (815206)
http://www.microsoft.com/technet/security/bulletin/MS02-071.asp

What You Should Know About Microsoft Security Bulletin MS03-016
Security Update for Microsoft BizTalk Server
http://www.microsoft.com/security/security_bulletins/ms02-071.asp