Risque
- Déni de service ;
- exécution de code arbitraire.
Systèmes affectés
- Microsoft IIS 4.0 sous Microsoft Windows NT Workstation 4.0 Service Pack 6a ;
- Microsoft IIS 4.0 sous Microsoft Windows NT Server 4.0 Service Pack 6a.
Résumé
Une vulnérabilité dans Microsoft IIS 4.0 permet à un utilisateur distant mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire sur la plate-forme vulnérable.
Description
Un débordement de pile présent dans le traitement des redirections HTTP permet à un utilisateur mal intentionné, via une adresse réticulaire (URL) malicieusement construite, d'exécuter du code arbitraire ou de réaliser un déni de service sur la plate-forme vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS04-21 du 13 juillet 2004 :
http://www.microsoft.com/technet/security/bulletin/ms04-021.mspx
- Référence CVE CAN-2004-0205 :
https://www.cve.org/CVERecord?id=CAN-2004-0205