Risques
- Contournement de la politique de sécurité
- Élévation de privilèges
Systèmes affectés
- Microsoft Internet Information Services 5.0 ;
- Microsoft Internet Information Services 5.1 ;
- Microsoft Internet Information Services 6.0.
Résumé
Des vulnérabilités ont été identifiées dans le serveur Web Microsoft Internet Information Services utilisé avec WebDAV. L'une d'elle a fait l'objet de l'alerte CERTA-2009-ALE-007.
L'exploitation par le biais de requêtes spécialement construites permet à une personne distante d'élever ses privilèges et de contourner des phases d'authentification mises en place.
Description
Des vulnérabilités ont été identifiées dans le serveur Web Microsoft Internet Information Services utilisé avec WebDAV. L'une d'elle a fait l'objet de l'alerte CERTA-2009-ALE-007.
L'exploitation par le biais de requêtes spécialement construites permet à une personne distante d'élever ses privilèges et de contourner des phases d'authe ntification mises en place.
Solution
Se référer au bulletin de sécurité Microsoft MS09-020 pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS09-020 du 09 juin 2009 http://www.microsoft.com/technet/security/Bulletin/MS09-020.mspx
- Alerte CERTA-2009-ALE-007 du 18 mai 2009 : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-007/
- Référence CVE CVE-2009-1122 https://www.cve.org/CVERecord?id=CVE-2009-1122
- Référence CVE CVE-2009-1535 https://www.cve.org/CVERecord?id=CVE-2009-1535
- Référence CVE CVE-2009-1676 https://www.cve.org/CVERecord?id=CVE-2009-1676
