Risque

  • Exécution de code arbitraire

Systèmes affectés

  • Microsoft Internet Information Server 4.0 ;
  • Microsoft Internet Information Server 5.0.

Résumé

Le 20 février 2000, le Cert CC a émis un avis concernant une vulnérabilité (Cross-Site Scripting) permettant à un utilisateur malveillant d'injecter du code dans la session d'un utilisateur d'un site internet. Microsoft vient de paraître un correctif pour cette vulnérabilité.

Description

Un utilisateur malveillant peut, par l'intermédiaire d'une requête (moteur de recherche, formulaire...) dirigée vers un serveur IIS, y insérer un script qui sera exécuté lors de la réponse à la requête. De ce fait, en invitant un utilisateur à cliquer sur un lien contenant ce type de requête, l'utilisateur malveillant peut faire exécuter du code sur la machine distante. Ce lien peut se trouver sur un site ou dans un courrier.

Nota : Selon Microsoft, de nombreux serveurs Web sont susceptibles d'être vulnérables à cette faille. Il est recommandé de prendre contact avec son fournisseur afin de savoir si un correctif existe.

Solution

Internet Information Server 4.0 :

http://www.microsoft.com/Downloads/Release.asp?ReleaseId=24000

Internet Information Server 5.0 :

http://www.microsoft.com/Downloads/Release.asp?ReleaseId=23999

Documentation