S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 20 avril 2001
N° CERTA-2001-AVI-046
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans WebDAV Service Provider

Gestion du document

Référence CERTA-2001-AVI-046
Titre Vulnérabilité dans WebDAV Service Provider
Date de la première version20 avril 2001
Date de la dernière version20 avril 2001
Source(s) Bulletin Microsoft MS01-022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Accès aux données

Systèmes affectés

  • Microsoft Windows 2000.
  • Microsoft Windows 9x ;
  • Microsoft Windows Me ;
  • Microsoft Windows NT ;

Résumé

Un utilisateur mal intentionné peut, par le biais d'un script habilement construit, avoir accès à un réseau WebDav interne avec les privilèges de la machine cible.

Description

WebDAV est un standard d'Internet qui permet à plusieurs utilisateurs de coopérer sur des documents en utilisant le système de partage de fichiers.

Théoriquement, WebDAV devrait être capable de faire la différence entre une requête faite par un utilisateur, et une requête faite par un script du navigateur de l'utilisateur.

Néanmoins, du fait d'une faille dans son implémentation, WebDAV traite toutes les requêtes comme étant celles de l'utilisateur.

Il en résulte que si un utilisateur navigue sur une page web ou ouvre un mél écrit en HTML contenant un script, ce script aura accès aux ressources web avec les droits de l'utilisateur.

Contournement provisoire

Désactiver l'activation automatique de script dans le navigateur et le logiciel de messagerie.

Solution

Correctif Microsoft :

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29129

Documentation

Gestion détaillée du document

    le 20 avril 2001
    version initiale.