Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- élévation de privilèges.
Systèmes affectés
IIS sur toutes les éditions de Windows XP, Vista, Seven, Server 2003 et Server 2008, et pour toutes les architectures.
Résumé
Plusieurs vulnérabilités affectent le serveur IIS. La plus grave permet à un utilisateur malintentionné d'exécuter du code arbitraire à distance.
Description
Trois vulnérabilité du serveur IIS viennent d'être publiées :
- (CVE-2010-1899) le traitement défectueux de certaines URL par les serveurs IIS ASP est exploitable par un utilisateur malveillant pour provoquer un déni de service à distance ;
- (CVE-2010-2730) le traitement défectueux de certaines requêtes HTTP par les serveurs IIS 7.5 avec fonctionnalité FastCGI activée est exploitable par un utilisateur malveillant pour exécuter du code arbitraire à distance ;
- (CVE-2010-2731) un défaut dans IIS 5.1 sur windows XP SP3 permet à un utilisateur malveillant de s'affranchir de l'authentification pour accéder à des ressources protégées.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS10-065 du 14 septembre 2010 :
http://www.microsoft.com/france/technet/security/Bulletin/MS10-065.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-065.mspx
- Référence CVE CVE-2010-1899 :
https://www.cve.org/CVERecord?id=CVE-2010-1899
- Référence CVE CVE-2010-2730 :
https://www.cve.org/CVERecord?id=CVE-2010-2730
- Référence CVE CVE-2010-2731 :
https://www.cve.org/CVERecord?id=CVE-2010-2731