Risque
- Contournement de la politique de sécurité ;
- élévation de privilèges.
Systèmes affectés
- Microsoft Internet Information Services 5.0 ;
- Microsoft Internet Information Services 5.1 ;
- Microsoft Internet Information Services 6.0.
Résumé
Des vulnérabilités ont été identifiées dans le serveur Web Microsoft Internet Information Services utilisé avec WebDAV. L'une d'elle a fait l'objet de l'alerte CERTA-2009-ALE-007.
L'exploitation par le biais de requêtes spécialement construites permet à une personne distante d'élever ses privilèges et de contourner des phases d'authentification mises en place.
Description
Des vulnérabilités ont été identifiées dans le serveur Web Microsoft Internet Information Services utilisé avec WebDAV. L'une d'elle a fait l'objet de l'alerte CERTA-2009-ALE-007.
L'exploitation par le biais de requêtes spécialement construites permet à une personne distante d'élever ses privilèges et de contourner des phases d'authe ntification mises en place.
Solution
Se référer au bulletin de sécurité Microsoft MS09-020 pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Alerte CERTA-2009-ALE-007 du 18 mai 2009 :
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-007/
- Bulletin de sécurité Microsoft MS09-020 du 09 juin 2009 :
http://www.microsoft.com/france/technet/security/Bulletin/MS09-020.mspx
http://www.microsoft.com/technet/security/Bulletin/MS09-020.mspx
- Référence CVE CVE-2009-1122 :
https://www.cve.org/CVERecord?id=CVE-2009-1122
- Référence CVE CVE-2009-1535 :
https://www.cve.org/CVERecord?id=CVE-2009-1535
- Référence CVE CVE-2009-1676 :
https://www.cve.org/CVERecord?id=CVE-2009-1676
