S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 septembre 2002
N° CERTA-2002-AVI-214
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité d'ISS Scanner

Gestion du document

Référence CERTA-2002-AVI-214
Titre Vulnérabilité d'ISS Scanner
Date de la première version19 septembre 2002
Date de la dernière version19 septembre 2002
Source(s) Alerte ISS
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance sur la machine utilisant iss scanner

Systèmes affectés

Internet Scanner 6.2.1 pour Windows NT et Windows 2000.

Résumé

Une vulnérabilité dans ISS Scanner permet à un utilisateur mal intentionné, sous certaines conditions, d'exécuter du code arbitraire à distance sur le système utilisant ce scanner.

Description

ISS Scanner est un scanner de vulnérabilités utilisé généralement pour réaliser un audit de sécurité du réseau. Le fonctionnement d'ISS Scanner repose sur le sondage du réseau et l'interprétation des résultats, notamment des bannières.

Une vulnérabilité d'ISS Scanner dans le traitement des réponses des serveurs Web a été découverte. L'exploitation de cette vulnérabilité par un utilisateur mal intentionné permet l'exécution de code arbitraire à distance sur le système utilisant ISS Scanner.

Solution

Appliquer le correctif X-Press Update 6.17 d'ISS :

http://www.iss.net/download

Documentation

Gestion détaillée du document

    le 19 septembre 2002
    version initiale.