S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 09 février 2005
N° CERTA-2005-AVI-057
Affaire suivie par: CERT-FR
le 09 février 2005

Avis du CERT-FR

Objet: Vulnérabilités dans les services SharePoint de Microsoft

Gestion du document

Référence CERTA-2005-AVI-057
Titre Vulnérabilités dans les services SharePoint de Microsoft
Date de la première version 09 février 2005
Date de la dernière version 09 février 2005
Source(s) Bulletin de sécurité Miscrosoft MS05-006 du 08 février 2005
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • Microsoft Windows Server 2003 pour les systèmes Itanium ;
  • SharePoint Portal Server 2003 ;
  • SharePoint Portal Server 2001.

Résumé

Deux vulnérabilités présentes dans le service SharePoint de Miscrosoft permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

Microsoft SharePoint Portal Server permet la création de portail d'entreprise. Plusieurs sites peuvent être connectés au sein d'un même portail.

  • La première vulnérabilité de type "Cross Site Scripting" permet à un utilisateur mal intentionné d'inciter sa victime à exécuter un code arbitraire sur son système avec ses privilèges.
  • La seconde vulnérabilité permet à un utilisateur distant de polluer le cache du site web afin d'en motifier le contenu.

Solution

Se référer au bulletin de sécurité pour l'obtention des correctifs (cf. Documentation).

Documentation

Gestion détaillée du document

    le 09 février 2005
    version initiale.