Risque
- Exécution de commandes à distance ;
- Accès aux données ;
- Déni de service.
Systèmes affectés
- Microsoft Internet Information Server 4.0 ;
- Mircosoft Internet Information Server 5.0.
Résumé
Trois vulnérabiltés ont été découvertes sous IIS 4.0 et 5.0.
La première vulnérabilité permet à un utilisateur distant d'exécuter des commandes sur le serveur cible. La seconde permet de se loguer en FTP, sous certaines conditions, sur un compte « invité » de l'un des domaines du réseau et la troisième permet d'entraîner un déni de service sur le serveur FTP.
Description
- Première vulnérabilité :
Une fonctionnalité sous IIS permet de traiter les appels aux programmes de type CGI.
Une vulnérabilité dans cette fonctionnalité permet à un utilisateur distant d'exécuter des commandes du système d'exploitation sur le serveur Web cible avec les privilèges du compte Web (compte IUSR_[nom_machine]). Elle lui fournit la possibilité de modifier des pages Web, d'ajouter ou de supprimer des fichiers, ou de reformater le disque dur.
- Seconde vulnérabilité :
Dans le cas où un serveur FTP est membre d'un domaine NT ou Windows 2000, une vulnérabilité permet à un utilisateur distant mal intentionné d'ouvrir une connexion sur le serveur avec le compte « invité » et le mot de passe par défaut (souvent vide sur ce type de compte).
- Troisème vulnérabilité :
Une vulnérabilité dans la gestion des requêtes sur un serveur FTP permet à un utilisateur distant, par le biais de caractères « joker », d'interrompre le serveur FTP par saturation de la mémoire.
Solution
Télécharger les correctifs sur le site Microsoft :
- Microsoft IIS 4.0 :
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29787
- Microsoft IIS 5.0 :
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29764
Documentation
Bulletin Microsoft :
http://www.microsoft.com/technet/security/bulletin/ms01-026.asp
