Risques

  • Déni de service
  • Exécution de code arbitraire
  • Vulnérabilité de type "cross site scripting" (cf. bulletin d'information certa-2002-inf-001)

Systèmes affectés

  • Microsoft Internet Information Server 4.0 ;
  • Microsoft Internet Information Server 5.0 ;
  • Microsoft Internet Information Server 5.1.

Résumé

Plusieurs vulnérabilités ont été mises en évidence dans le serveur web de Microsoft Internet Information Server (IIS).

Description

De nombreuses vulnérabilités ont été mises en évidence dans plusieurs versions de Microsoft Internet Information Server, permettant à un utilisateur mal intentionné d'exécuter du code arbitraire, d'effectuer des dénis de service ou bien d'exploiter des vulnérabilités de type "Cross Site Scripting".
Les produits Cisco installés sur une plateforme Windows avec un serveur IIS peuvent être affectés si aucun correctif n'a été appliqué (se référer au bulletin de Cisco afin de connaître la liste des produits affectés).

Solution

Se référer au bulletin de sécurité Microsoft (section Patch availability) afin d'obtenir la liste des correctifs selon les versions affectées :

http://www.microsoft.com/technet/security/bulletin/MS02-018.asp

Documentation