S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 16 août 2000
N° CERTA-2000-AVI-028
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans les permissions de fichiers sous IIS version 4.0 et 5.0

Gestion du document

Référence CERTA-2000-AVI-028
Titre Vulnérabilité dans les permissions de fichiers sous IIS version 4.0 et 5.0
Date de la première version16 août 2000
Date de la dernière version16 août 2000
Source(s) Avis du CERT IST
Bulletin de sécurité de Microsoft
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement des permissions sur les fichiers du serveur

Systèmes affectés

  • Microsoft Internet Information Server 4.0 ;
  • Microsoft Internet Information Server 5.0.

Résumé

Une vulnérabilité d'IIS permet a un utilisateur mal intentionné d'obtenir des permissions non prévues sur des fichiers présents sur le serveur.

Description

Un utilisateur mal intentionné peut, par l'intermédiaire d'une URL malformée, obtenir des privilèges sur des fichiers avec des permissions accordées différentes de celles du répertoire où se situent ces fichiers.

Fichiers concernés par cette vulnérabilité :

  • Scripts CGI ;
  • Fichiers implantés par des extensions ISAPI (Internet Server Application Program Interface).

Fichiers non concernés :

  • Pages web statiques ;
  • Fichiers non web (ex : .exe, .doc etc...)

Solution

Correctif pour IIS version 4.0 (version US) :

http://www.microsoft.com/Downloads/release.asp?ReleaseID=23667

Correctif pour IIS version 5.0 (version US) :

http://www.microsoft.com/Downloads/release.asp?ReleaseID=23665

Documentation

Gestion détaillée du document

    le 16 août 2000
    version initiale.