Tous les serveurs web \u00e9quip\u00e9s de l'outil ASP.NET.
","content":"## Description\n\nASP.NET est un outil de d\u00e9veloppement d'applications web.\n\nParmi les modes d'ASP.NET, le mode StateServer permet de g\u00e9rer des\nsessions en stockant des informations sur l'\u00e9tat de chaque session\nouverte.\n\nUn d\u00e9bordement de m\u00e9moire dans une fonction de gestion de cookies\nd'ASP.NET en mode StateServer permet \u00e0 un utilisateur mal intentionn\u00e9\nd'ex\u00e9cuter du code arbitraire \u00e0 distance dans le contexte de s\u00e9curit\u00e9\nd'ASP.NET dont le compte ne poss\u00e8de normalement aucun privil\u00e8ge.\n\nLe mode StateServer n'est pas activ\u00e9 par d\u00e9faut lors de l'installation\nd'ASP.NET.\n\n## Contournement provisoire\n\n- D\u00e9sactiver les cookies d'ASP.NET en mode StateServer ;\n- ne pas utiliser le mode StateServer si cela est possible.\n\n## Solution\n\nAppliquer le correctif de Microsoft :\n\n http://www.microsoft.com/Downloads/Release.asp/ReleaseID=39298\n","cves":[],"links":[],"reference":"CERTA-2002-AVI-120","revisions":[{"description":"version initiale.","revision_date":"2002-06-10T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"D\u00e9ni de service"}],"summary":"Un utilisateur mal intentionn\u00e9 peut effectuer un d\u00e9bordement de m\u00e9moire\n\u00e0 distance et ex\u00e9cuter du code arbitraire sur un serveur utilisant\nl'outil ASP.NET.\n","title":"D\u00e9bordement de m\u00e9moire dans l'application ASP.NET de Microsoft","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS02-026","url":"http://www.microsoft.com/technet/security/bulletin/MS02-026.asp"}]}