Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance ;
  • élévation de privilèges.

Systèmes affectés

IIS sur toutes les éditions de Windows XP, Vista, Seven, Server 2003 et Server 2008, et pour toutes les architectures.

Résumé

Plusieurs vulnérabilités affectent le serveur IIS. La plus grave permet à un utilisateur malintentionné d'exécuter du code arbitraire à distance.

Description

Trois vulnérabilité du serveur IIS viennent d'être publiées :

  • (CVE-2010-1899) le traitement défectueux de certaines URL par les serveurs IIS ASP est exploitable par un utilisateur malveillant pour provoquer un déni de service à distance ;
  • (CVE-2010-2730) le traitement défectueux de certaines requêtes HTTP par les serveurs IIS 7.5 avec fonctionnalité FastCGI activée est exploitable par un utilisateur malveillant pour exécuter du code arbitraire à distance ;
  • (CVE-2010-2731) un défaut dans IIS 5.1 sur windows XP SP3 permet à un utilisateur malveillant de s'affranchir de l'authentification pour accéder à des ressources protégées.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation