Risque
Exécution de code arbitraire.
Systèmes affectés
- Microsoft Internet Information Server 4.0 ;
- Microsoft Internet Information Server 5.0.
Résumé
Le 20 février 2000, le Cert CC a émis un avis concernant une vulnérabilité (Cross-Site Scripting) permettant à un utilisateur malveillant d'injecter du code dans la session d'un utilisateur d'un site internet. Microsoft vient de paraître un correctif pour cette vulnérabilité.
Description
Un utilisateur malveillant peut, par l'intermédiaire d'une requête (moteur de recherche, formulaire...) dirigée vers un serveur IIS, y insérer un script qui sera exécuté lors de la réponse à la requête. De ce fait, en invitant un utilisateur à cliquer sur un lien contenant ce type de requête, l'utilisateur malveillant peut faire exécuter du code sur la machine distante. Ce lien peut se trouver sur un site ou dans un courrier.
Nota : Selon Microsoft, de nombreux serveurs Web sont susceptibles d'être vulnérables à cette faille. Il est recommandé de prendre contact avec son fournisseur afin de savoir si un correctif existe.
Solution
Internet Information Server 4.0 :
http://www.microsoft.com/Downloads/Release.asp?ReleaseId=24000
Internet Information Server 5.0 :
http://www.microsoft.com/Downloads/Release.asp?ReleaseId=23999
Documentation
Bulletin de sécurité Microsoft :
http://www.microsoft.com/technet/security/bulletin/MS00-060.asp
Faq Microsoft :
http://www.microsoft.com/technet/security/bulletin/fq00-060.asp
