Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- IIS 7.5 sur Windows 7 32 bits ;
- IIS 7.5 sur Windows 7 x64 ;
- IIS 7.5 sur Windows Server 2008 R2 IA64.
- IIS 7.5 sur Windows Server 2008 R2 x64 ;
- Microsoft FTP Service 7.0 pour IIS 7.0 installé sur Windows Server 2008 32 bits et Windows Server 2008 32 bits SP2 ;
- Microsoft FTP Service 7.0 pour IIS 7.0 installé sur Windows Server 2008 x64 et Windows Server 2008 x64 SP2 ;
- Microsoft FTP Service 7.0 pour IIS 7.0 installé sur Windows Vista SP1 et Windows Vista SP2 ;
- Microsoft FTP Service 7.0 pour IIS 7.0 installé sur Windows Vista x64 SP1 et Windows Vista SP2 ;
- Microsoft FTP Service 7.5 pour IIS 7.0 installé sur Windows Server 2008 32 bits et Windows Server 2008 32 bits SP2 ;
- Microsoft FTP Service 7.5 pour IIS 7.0 installé sur Windows Server 2008 x64 et Windows Server 2008 x64 SP2 ;
- Microsoft FTP Service 7.5 pour IIS 7.0 installé sur Windows Vista SP1 et Windows Vista SP2 ;
- Microsoft FTP Service 7.5 pour IIS 7.0 installé sur Windows Vista x64 SP1 et Windows Vista SP2 ;
Résumé
Une vulnérabilité dans Microsoft Internet Information Services (IIS) peut être exploitée par une personne distante malveillante pour provoquer de l'exécution de code arbitraire.
Description
Une vulnérabilité a été corrigée dans le service FTP de Microsoft Internet Information Services (IIS). Ce service n'est pas installé par défaut dans IIS. L'exploitation de cette vulnérabilité, par le biais d'une commande FTP spécialement conçue peut permettre à une personne distante malveillante de provoquer de l'exécution de code arbitraire.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS11-004 du 08 février 2011 http://www.microsoft.com/technet/security/Bulletin/MS11-004.mspx
- Référence CVE CVE-2010-3972 https://www.cve.org/CVERecord?id=CVE-2010-3972
