Objet: Vulnérabilités dans Microsoft IIS 4.0 et 5.0

Résumé

Trois vulnérabiltés ont été découvertes sous IIS 4.0 et 5.0.

La première vulnérabilité permet à un utilisateur distant d'exécuter des commandes sur le serveur cible. La seconde permet de se loguer en FTP, sous certaines conditions, sur un compte « invité » de l'un des domaines du réseau et la troisième permet d'entraîner un déni de service sur le serveur FTP.

Description

• Première vulnérabilité :

  Une fonctionnalité sous IIS permet de traiter les appels aux programmes de type CGI.

  Une vulnérabilité dans cette fonctionnalité permet à un utilisateur distant d'exécuter des commandes du système d'exploitation sur le serveur Web cible avec les privilèges du compte Web (compte IUSR_[nom_machine]). Elle lui fournit la possibilité de modifier des pages Web, d'ajouter ou de supprimer des fichiers, ou de reformater le disque dur.

• Seconde vulnérabilité :

  Dans le cas où un serveur FTP est membre d'un domaine NT ou Windows 2000, une vulnérabilité permet à un utilisateur distant mal intentionné d'ouvrir une connexion sur le serveur avec le compte « invité » et le mot de passe par défaut (souvent vide sur ce type de compte).

• Troisème vulnérabilité :

  Une vulnérabilité dans la gestion des requêtes sur un serveur FTP permet à un utilisateur distant, par le biais de caractères « joker », d'interrompre le serveur FTP par saturation de la mémoire.

Solution

Télécharger les correctifs sur le site Microsoft :

• Microsoft IIS 4.0 :

  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29787
  

• Microsoft IIS 5.0 :

  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29764