Risque
- Déni de service
Systèmes affectés
Toute machine Windows NT 4.0. Le service Internet Information Server (IIS) est affecté, d'autres services pourraient l'être également.
Résumé
Un utilisateur mal intentionné peut, à l'aide d'une URL malformée, arrêter à distance le service IIS.
Description
Lorsqu'un utilisateur demande d'afficher cette URL malformée au serveur, le processus INETINFO.EXE consomme progressivement toutes les ressources du système (99-100% dans le gestionnaire des tâches).
Lorsque la mémoire virtuelle ne peut plus être étendue, le système tue (kill) le processus. Il se peut qu'une boîte de dialogue annonce que le système manque de mémoire virtuelle.
Solution
D'après Microsoft, la vulnérabilité ne provient pas du fonctionnement de l'application IIS, mais des systèmes Windows NT 4.0.
Il est donc recommandé d'appliquer ce correctif même si le serveur IIS n'est pas utilisé.
Appliquer le correctif pour les systèmes Windows NT 4.0 Workstation, Server et Server Enterprise Edition :
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24079
Il n'existe pas encore de correctif pour Terminal Server Edition.
Documentation
- L'avis de sécurité de VIGILANTe aillant publié la vulnérabilité : http://www.vigilante.com/inetsecurity/advisories/VIGILANTE-2000009.htm
- La FAQ sur le bulletin de sécurité de Microsoft : http://www.microsoft.com/technet/security/bulletin/fq00-063.asp
- Le bulletin de sécurité de Microsoft : http://www.microsoft.com/technet/security/bulletin/ms00-063.asp