{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Indexing Service 3.0.","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Index Server 2.0 ;","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nUn contr\u00f4le ActiveX concernant l'indexation est inexactement marqu\u00e9\ncomme \u00abreconnu s\u00fbr pour l'\u00e9criture de script\u00bb. Cette vuln\u00e9rabilit\u00e9\npermet \u00e0 un concepteur mal intentionn\u00e9 de site internet d'effectuer une\nrequ\u00eate afin d'\u00e9num\u00e9rer les fichiers et dossiers de la machine distante.\nTh\u00e9oriquement cette vuln\u00e9rabilit\u00e9 ne permet que la lecture des\npropri\u00e9t\u00e9s des fichiers (date de cr\u00e9ation, taille etc...), cependant par\nle biais de recoupement, il est possible d'\u00e9tablir la liste des\ncaract\u00e8res contenus dans les fichiers et reconstruire ainsi ces\nderniers.  \n  \n\nSur Windows 2000, ce serveur d'indexation est install\u00e9 par d\u00e9faut. Sur\nWindows NT4, il est install\u00e9 seulement sur les machines comportant\nInternet Information Server.\n\n## Solution\n\nUn correctif n'a seulement \u00e9t\u00e9 publi\u00e9 que pour le service d'indexation\n3.0 concernant Windows 2000. Microsoft jugeant que l'administrateur d'un\nsyst\u00e8me NT4 comportant lui-m\u00eame un serveur internet (IIS) ne se sert pas\nde cette machine pour naviguer sur d'autres sites.  \n  \n\nCorrectif pour Indexing Service 3.0 (Windows 2000 - Version US) :\n\n    http://www.microsoft.com/Download/Release.asp?ReleaseID=26595\n","cves":[],"links":[{"title":"Bulletin Microsoft :","url":"http://www.microsoft.com/technet/security/bulletin/MS00-098.asp"}],"reference":"CERTA-2000-AVI-090","revisions":[{"description":"version initiale.","revision_date":"2000-12-20T00:00:00.000000"}],"risks":[{"description":"Acc\u00e8s aux donn\u00e9es"}],"summary":"Un concepteur de site internet mal intentionn\u00e9 peut par le biais d'une\nrequ\u00eate ActiveX sur le serveur d'indexation, avoir connaissance des\nfichiers contenus dans le disque de la machine cible.\n","title":"Vuln\u00e9rabilit\u00e9 dans le serveur d'indexation sous Microsoft","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Microsoft (MS00-098)","url":null}]}