Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
IIS sur toutes les éditions de Windows XP, Vista, Seven, Server 2003 et Server 2008, et pour toutes les architectures.
Résumé
Plusieurs vulnérabilités affectent le serveur IIS. La plus grave permet à un utilisateur malintentionné d'exécuter du code arbitraire à distance.
Description
Trois vulnérabilité du serveur IIS viennent d'être publiées :
- (CVE-2010-1899) le traitement défectueux de certaines URL par les serveurs IIS ASP est exploitable par un utilisateur malveillant pour provoquer un déni de service à distance ;
- (CVE-2010-2730) le traitement défectueux de certaines requêtes HTTP par les serveurs IIS 7.5 avec fonctionnalité FastCGI activée est exploitable par un utilisateur malveillant pour exécuter du code arbitraire à distance ;
- (CVE-2010-2731) un défaut dans IIS 5.1 sur windows XP SP3 permet à un utilisateur malveillant de s'affranchir de l'authentification pour accéder à des ressources protégées.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS10-065 http://www.microsoft.com/technet/security/Bulletin/MS10-065.mspx
- Référence CVE CVE-2010-1899 https://www.cve.org/CVERecord?id=CVE-2010-1899
- Référence CVE CVE-2010-2730 https://www.cve.org/CVERecord?id=CVE-2010-2730
- Référence CVE CVE-2010-2731 https://www.cve.org/CVERecord?id=CVE-2010-2731
