Risques
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
Les systèmes d'exploitation suivants sont affectés (utilisant Internet Information Services versions 5.0 à 7.0) :
- Windows 2000 SP4 (MS08-005) ;
- Windows XP SP2 (MS08-005, MS08-006) ;
- Windows XP Professionnel Edition x64 et Windows XP Professionnel Edition x64 SP2 (MS08-005, MS08-006) ;
- Windows Server 2003 SP1, Windows Server 2003 SP2 (MS08-005, MS08-006) ;
- Windows Server 2003 Edition x64 et Windows Server 2003 Edition x64 SP2 (MS08-005, MS08-006) ;
- Windows Server 2003 avec SP1 pour les systèmes Itanium et Windows Server 2003 avec SP2 pour les systèmes Itanium (MS08-005, MS08-006) ;
- Windows Vista et Windows Vista x64 (MS08-005).
Résumé
Deux vulnérabilités touchant Microsoft Internet Information Services (IIS) permettent à une personne malintentionnée d'exécuter du code arbitraire à distance ou d'élever ses privilèges.
Description
Deux vulnérabilités affectent Microsoft Internet Information Services :
- La première vulnérabilité (MS08-005) concerne les services W3SVC, FTPSVC et NNTPSVC. Elle permet à une personne locale d'élever ses privilèges ;
- La deuxième vulnérabilité (MS08-006) concerne la façon dont IIS traite les entrées de données dans les pages web ASP. Une personne malintentionnée pourrait ainsi exécuter du code arbitraire à distance en envoyant des données spécialement conçues au serveur.
Solution
Se référer aux bulletins de sécurité MS08-005 et MS08-006 de Microsoft pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS08-005 du 12 février 2008 http://www.microsoft.com/technet/security/Bulletin/MS08-005.mspx
- Bulletin de sécurité Microsoft MS08-006 du 12 février 2008 http://www.microsoft.com/technet/security/Bulletin/MS08-006.mspx
- Référence CVE CVE-2008-0074 https://www.cve.org/CVERecord?id=CVE-2008-0074
- Référence CVE CVE-2008-0075 https://www.cve.org/CVERecord?id=CVE-2008-0075
