{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<UL>    <LI>Microsoft Internet Information Services (IIS), pour les    versions 5, 5.1 ou 6.0.</LI>  </UL>  <P>Microsoft Internet Information Services (IIS) 7.0 n'est pas  affect\u00e9.</P>","closed_at":"2009-06-10","content":"## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans la gestion des en-t\u00eates HTTP par\nle serveur Microsoft IIS avec la fonctionnalit\u00e9 WebDAV (Web-based\nDistributed Authoring and Versioning). Elle consiste en une mauvaise\nmanipulation de caract\u00e8res Unicode et peut \u00eatre exploit\u00e9e pour\ncontourner la phase d'authentification et ainsi acc\u00e9der (lire, charger\net t\u00e9l\u00e9charger) \u00e0 des fichiers arbitraires.\n\nDu code d'exploitation est disponible sur l'Internet.\n\n## Contournement provisoire\n\nPlusieurs contournements sont envisageables dans l'attente d'un\ncorrectif\u00a0:\n\n-   si WebDAV n'est pas n\u00e9cessaire, il doit \u00eatre d\u00e9sactiv\u00e9. C'est le cas\n    par d\u00e9faut sous IIS 6\u00a0;\n-   restreindre l'acc\u00e8s Web aux machines de confiance\u00a0;\n-   filtrer les requ\u00eates HTTP entrantes dont l'URL contient la cha\u00eene\n    %c0%af et l'en-t\u00eate HTTP pr\u00e9sente l'information Translate: f.\n    L'assistant IIS Lockdown et URLscan peuvent aider dans cette\n    d\u00e9marche, ainsi qu'une passerelle interm\u00e9diaire. Les m\u00e9thodes\n    inutiles doivent \u00e9galement \u00eatre filtr\u00e9es (PROPFIND par exemple).\u00a0;\n-   changer les droits d'acc\u00e8s (ACL) du syst\u00e8me de fichiers pour\n    l'utilisateur anonyme IUSR\\_\\[Nom-de-la-machine\\]\u00a0;\n-   migrer sous IIS 7 qui n'est pas, avec WebDAV, touch\u00e9 par cette\n    vuln\u00e9rabilit\u00e9.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 Microsoft MS09-020 pour l'obtention\ndes correctifs (cf. section Documentation). Le CERTA a publi\u00e9 l'avis\nCERTA-2009-AVI-215 \u00e0 ce sujet.\n","cves":[{"name":"CVE-2009-1535","url":"https://www.cve.org/CVERecord?id=CVE-2009-1535"}],"links":[{"title":"Forum IIS, \"Disable WebDAV protocol on IIS 6.0\", mai    2008\u00a0:","url":"http://support.microsoft.com/kb/241520"},{"title":"R\u00e9f\u00e9rence CVE CVE-2009-1535\u00a0:","url":"http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1535"},{"title":"Page d'accueil Microsoft IIS\u00a0:","url":"http://www.microsoft.com/windowsserver2003/iis/default.mspx"},{"title":"Microsoft IIS Lockdown Tool\u00a0:","url":"http://technet.microsoft.com/en-us/library/dd450372.aspx"},{"title":"Microsoft IIS Lockdown Tool\u00a0:","url":"http://support.microsoft.com/kb/325864/fr"},{"title":"Forum IIS, \"Disable WebDAV protocol on IIS 6.0\", mai    2008\u00a0:","url":"http://forums.iis.net/t/1149348.aspx"},{"title":"Avis du CERTA CERTA-2001-AVI-053 du 15 mai 2001\u00a0:","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2001-AVI-053/"},{"title":"Bloc-notes de T. Zoller, \"IIS6 + WebDAV auth bypass and    data upload\", 16 mai 2009\u00a0:","url":"http://blog.zoller.lu/2009/05/iis-6-webdac-auth-bypass-and-data.html"},{"title":"Source d'informations sur WebDAV\u00a0:","url":"http://www.webdav.org"},{"title":"Avis de s\u00e9curit\u00e9 Microsoft 971492 du 18 mai 2009\u00a0:","url":"http://www.microsoft.com/technet/security/advisory/971492.mspx"},{"title":"Bloc-notes Microsoft SRD, \"More information about the IIS    authentication bypass\", 18 mai 2009\u00a0:","url":"http://blogs.technet.com/srd/archive/2009/05/18/more-information-about-the-iis-authentication-bypass.aspx"},{"title":"Avis CERTA-2009-AVI-215 du 10 juin 2009\u00a0:","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-215/"}],"reference":"CERTA-2009-ALE-007","revisions":[{"description":"version initiale.","revision_date":"2009-05-18T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence \u00e0 l'avis de s\u00e9curit\u00e9 Microsoft associ\u00e9.","revision_date":"2009-05-19T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Microsoft MS09-020.","revision_date":"2009-06-10T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans Microsoft IIS avec la\nfonctionnalit\u00e9 WebDAV. Elle permet \u00e0 une personne malveillante distante\nde contourner la phase d'authentification et ainsi acc\u00e9der (lire,\ncharger et t\u00e9l\u00e9charger) \u00e0 des fichiers arbitraires.\n","title":"Vuln\u00e9rabilit\u00e9 WebDAV sous Microsoft IIS","vendor_advisories":[]}