Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
Systèmes affectés
La version 2.0 de .NET Framework pour les systèmes d'exploitation suivants :
- Microsoft Windows 2000 Service Pack 4 ;
- Microsoft Windows XP Service Pack 1 ou Service Pack 2 ;
- Microsoft Windows XP Professionnel Édition x64 ;
- Microsoft Windows XP Édition Tablet PC, ou Édition Media Center ;
- Microsoft Windows Server 2003 ou Windows Server 2003 Service Pack 1 ;
Les versions antérieures 1.0 et 1.1 de .NET Framework ne sont pas concernées par cette vulnérabilité, ainsi que les systèmes d'exploitation Microsoft Windows 98, Microsoft Windows 98 Deuxième Édition (SE) et Microsoft Windows Millennium Edition (ME).
Description
Une vulnérabilité a été identifiée dans la version 2.0 de Microsoft .NET Framework. Elle pourrait permettre à une personne mal intentionnée de contourner la sécurité ASP.Net et d'accéder de façon non autorisée à certains objets du Dossier d'application. L'exploration de répertoires est néanmoins désactivée par défaut pour les répertoires Dossier d'application. La personne doit donc connaître le nom des objets a priori.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS06-033 du 11 juillet 2006 : http://www.microsoft.com/france/technet/security/Bulletin/MS06-033.mspx
- Bulletin de sécurité Microsoft MS06-033 du 11 juillet 2006 : http://www.microsoft.com/technet/security/Bulletin/MS06-033.mspx
- Référence CVE CVE-2006-1300 https://www.cve.org/CVERecord?id=CVE-2006-1300