Multiples vulnérabilités dans Microsoft IIS

Gestion du document

Référence	CERTA-2002-AVI-075-001
Titre	Multiples vulnérabilités dans Microsoft IIS
Date de la première version	11 avril 2002
Date de la dernière version	17 avril 2002
Source(s)	Bulletin de sécurité MS02-018 de Microsoft
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire ;
déni de service ;
vulnérabilité de type "Cross Site Scripting" (cf. bulletin d'information CERTA-2002-INF-001) ;

Systèmes affectés

Microsoft Internet Information Server 4.0 ;
Microsoft Internet Information Server 5.0 ;
Microsoft Internet Information Server 5.1.

Résumé

Plusieurs vulnérabilités ont été mises en évidence dans le serveur web de Microsoft Internet Information Server (IIS).

Description

De nombreuses vulnérabilités ont été mises en évidence dans plusieurs versions de Microsoft Internet Information Server, permettant à un utilisateur mal intentionné d'exécuter du code arbitraire, d'effectuer des dénis de service ou bien d'exploiter des vulnérabilités de type "Cross Site Scripting".
Les produits Cisco installés sur une plateforme Windows avec un serveur IIS peuvent être affectés si aucun correctif n'a été appliqué (se référer au bulletin de Cisco afin de connaître la liste des produits affectés).

Solution

Se référer au bulletin de sécurité Microsoft (section Patch availability) afin d'obtenir la liste des correctifs selon les versions affectées :

http://www.microsoft.com/technet/security/bulletin/MS02-018.asp

Documentation

Bulletin de sécurité MS02-018 de Microsoft :

http://www.microsoft.com/technet/security/bulletin/MS02-018.asp

Bulletin de sécurité CISCO "Microsoft IIS Vulnerability in Cisco Products - MS02-018" :
```
http://www.cisco.com/warp/public/707/Microsoft-IIS-vulnerabilities-MS02-018.shtml
```

Gestion détaillée du document

le 11 avril 2002: version initiale.

le 17 avril 2002: ajout de l'avis Cisco.

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Microsoft IIS