S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 31 octobre 2002
N° CERTA-2002-AVI-240
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Microsoft Internet Information Service (IIS)

Gestion du document

Référence CERTA-2002-AVI-240
Titre Multiples vulnérabilités dans Microsoft Internet Information Service (IIS)
Date de la première version 31 octobre 2002
Date de la dernière version 31 octobre 2002
Source(s) Avis #MS02-062 de Microsoft
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Accès aux sources des scripts
  • Déni de service
  • Injection de code indirecte à distance (XSS)
  • Élévation de privilèges

Systèmes affectés

Tout système possédant Microsoft Internet Information Service (IIS) versions 4.0 (Windows NT 4), 5.0 et 5.1 (Windows 2000).

Résumé

Plusieurs vulnérabilités ont été découvertes dans IIS de Microsoft.

Description

  • Un problème existe dans le lancement des ISAPI (Intern Service Application Programming Interface), permettant une élévation de privilège dans certaines conditions ;
  • la façon dont IIS alloue la mémoire pour les requetes WebDAV (Web based Distributed Authoring and Versioning) conduit à un déni de service dans certains cas ;
  • un utilisateur peut avoir accès aux sources des scripts des pages dynamiques ;
  • un « Cross Site Scripting » peut se produire dans les pages d'administration.

Solution

Appliquer le correctif de Microsoft disponible en téléchargement. (Cf section Documentation)
Ce correctif est cumulatif et regroupe tous les correctifs précédents destinés à IIS.

Documentation

Gestion détaillée du document

    le 31 octobre 2002
    version initiale.