{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Internet Information Server 4.0 et 5.0, install\u00e9 sur les  serveurs Windows NT et 2000, ayant les Extensions FrontPage  activ\u00e9es.</P>","content":"## Description\n\nVisual Studio RAD est un composant de Microsoft FrontPage Extensions qui\nn'est pas install\u00e9 par d\u00e9faut.\n\nUn utilisateur distant mal intentionn\u00e9, peu \u00e0 l'aide d'une URL\nhabilement con\u00e7ue, effectuer un d\u00e9bordement de m\u00e9moire dans ce composant\nlui permettant d'ex\u00e9cuter du code avec les privil\u00e8ges d'un utilisateur\nnormal, ou bien ceux de SYSTEM.\n\nCes commandes sont ex\u00e9cut\u00e9es dans le contexte de s\u00e9curit\u00e9 d'un\nutilisateur, ou bien du syst\u00e8me, ce qui permet \u00e0 l'utilsateur\nd'effectuer n'importe quelle action sur le serveur.\n\n## Contournement provisoire\n\nVisual Studio RAD est un outils de d\u00e9veloppement des objets COM : Il ne\nfaut pas installer Visual Studio RAD sur une machine en production.\n\nRendre non ex\u00e9cutable les librairies Dynamiques :\n\n<span\nclass=\"small\">`Program Files\\Common  Files\\Microsoft Shared\\Web Server  Extensions\\40\\ISAPI\\_vti_aut\\fp30reg.dll`</span>\n\net\n\n<span\nclass=\"small\">`Program Files\\Common  Files\\Microsoft Shared\\Web Server  Extensions\\40\\bin\\fp4areg.dll`.</span>\n\n## Solution\n\nAppliquer le correctif Microsoft pour les versions Anglaises et\nAm\u00e9ricaines :\n\n-   Pour Windows 2000 :\n\n        http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30727\n\n-   Pour Windows NT 4.0 :\n\n        http://www.microsoft.com/Downloads/Release.asp?ReleaseID31038\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft :","url":"http://www.microsoft.com/technet/security/bulletin/ms01-035.asp"}],"reference":"CERTA-2001-AVI-066","revisions":[{"description":"version initiale.","revision_date":"2001-06-26T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire avec les privil\u00e8ges d'un utilisateur normal voire de system"}],"summary":"Une vuln\u00e9rabilit\u00e9 d'un composant des Extensions FrontPage permet \u00e0 un\nutilisateur mal intentionn\u00e9 d'ex\u00e9cuter du code \u00e0 distance.\n","title":"Vuln\u00e9rabilit\u00e9 des Extensions FrontPage de Microsoft IIS","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS01-035","url":null}]}