{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft .NET Framework 3.5 Service Pack 1 ;","product":{"name":".Net","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft .NET Framework 2.0 Service Pack 2 ;","product":{"name":".Net","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft .NET Framework 4.","product":{"name":".Net","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft .NET Framework 1.0 Service Pack 3 ;","product":{"name":".Net","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft .NET Framework 1.1 Service Pack 1 ;","product":{"name":".Net","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft .NET Framework 3.5.1 ;","product":{"name":".Net","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nQuatre vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 corrig\u00e9es dans ASP.Net.\n\nLeur exploitation r\u00e9ussie conduit \u00e0:\n\n-   l'\u00e9l\u00e9vation de privil\u00e8ge \u00e0 distance via l'usurpation d'un compte\n    existant d'un site reposant sur l'authentification par formulaire ;\n-   un d\u00e9ni de service par \u00e9puisement des resources processeur du\n    serveur ;\n-   une redirection de l'utilisateur vers un site arbitraire lors de\n    l'authentification par formulaire sur un site web.\n\nLes d\u00e9tails techniques de l'attaque par d\u00e9ni de service ont \u00e9t\u00e9 publi\u00e9es\net peuvent conduire rapidement au d\u00e9veloppement d'outils exploitant\ncette vuln\u00e9rabilit\u00e9. Des informations compl\u00e9mentaires sont fournies sur\ncette technique d'attaque dans le bulletin d'actualit\u00e9\nCERTA-2011-ACT-052 (cf. section Documentation).\n\n## Contournement provisoire\n\nLe bulletin de l'\u00e9diteur sugg\u00e8re plusieurs contournements provisoires.\nLe CERTA recommande une revue d\u00e9taill\u00e9e de ces contournements avant\ntoute mise en production. En effet, il s'agit parfois de d\u00e9sactiver les\nm\u00e9canismes d'authentification mis en place sur la plateforme (pour les\nvuln\u00e9rabilit\u00e9s d'usurpation d'identit\u00e9) ou encore de restreindre la\nlongueur des requ\u00eates accept\u00e9es par le serveur. Ces contournements\npeuvent \u00eatre contre-productifs en termes de s\u00e9curit\u00e9 et de\ndisponibilit\u00e9. Dans tous les cas, le CERTA recommande l'installation des\ncorrectifs propos\u00e9s par l'\u00e9diteur lorsqu'ils sont disponibles.\n\nL'article KB318785 de la base de connaissance Microsoft documente les\nmoyens de d\u00e9terminer les versions du Microsoft Framework .NET (cf.\nsection Documentation)\n\n## Solution\n\nNote: Toutes les versions du Microsoft Framework .NET sont affect\u00e9es.\nPlusieurs versions du composant peuvent cohabiter sur un m\u00eame poste et\ndoivent donc individuellement \u00eatre mises \u00e0 jour.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Bulletin d'actualit\u00e9 du CERTA du 30 d\u00e9cembre 2011 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-052"},{"title":"Article de la base de connaissance Microsoft KB318785 :","url":"http://support.microsoft.com/kb/318785"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS11-100 du 29 d\u00e9cembre 2011    :","url":"http://technet.microsoft.com/en-us/security/bulletin/MS11-100"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS11-100 du 29 d\u00e9cembre 2011    :","url":"http://technet.microsoft.com/fr-fr/security/bulletin/MS11-100"}],"reference":"CERTA-2011-AVI-727","revisions":[{"description":"version initiale.","revision_date":"2011-12-30T00:00:00.000000"}],"risks":[{"description":"Usurpation d'identit\u00e9"},{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"Microsoft a publi\u00e9 un bulletin de s\u00e9curit\u00e9 adressant 4 vuln\u00e9rabilit\u00e9s\ndans le <span class=\"textit\">Microsoft Framework .NET</span>. Les plus\ns\u00e9v\u00e8res de ces vuln\u00e9rabilit\u00e9s permettent l'\u00e9l\u00e9vation de privil\u00e8ge et le\nd\u00e9ni de service \u00e0 distance pour les applications <span\nclass=\"textit\">ASP.Net</span>.\n","title":"Vuln\u00e9rabilit\u00e9s dans l'impl\u00e9mentation ASP.Net du Microsoft .NET Framework","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 MS11-100","url":null}]}