Agence nationale
de la sécurité des
systèmes d'information
No CERTA-2000-AVI-035
| S . G . D . S . N Agence nationale de la sécurité des systèmes d'information |
|
Paris, le 28 août
2000 No CERTA-2000-AVI-035 |
Affaire suivie par :
CERTA
Objet : Vulnérabilité dans
Microsoft Information Server
| Conditions d'utilisation de ce document : | http://www.certa.ssi.gouv.fr/certa/apropos.html |
| Dernière version de ce document : | http://www.certa.ssi.gouv.fr/site/CERTA-2000-AVI-035 |
Une gestion de version détaillée se trouve à la fin de ce document.
Exécution de code arbitraire.
Le 20 février 2000, le Cert CC a émis un avis concernant une vulnérabilité (Cross-Site Scripting) permettant à un utilisateur malveillant d'injecter du code dans la session d'un utilisateur d'un site internet. Microsoft vient de paraître un correctif pour cette vulnérabilité.
Un utilisateur malveillant peut, par l'intermédiaire
d'une requête (moteur de recherche, formulaire...)
dirigée vers un serveur IIS, y insérer un script
qui sera exécuté lors de la réponse
à la requête. De ce fait, en invitant un
utilisateur à cliquer sur un lien contenant ce type de
requête, l'utilisateur malveillant peut faire
exécuter du code sur la machine distante. Ce lien peut
se trouver sur un site ou dans un courrier.
Nota : Selon Microsoft, de nombreux serveurs Web sont susceptibles d'être vulnérables à cette faille. Il est recommandé de prendre contact avec son fournisseur afin de savoir si un correctif existe.
Internet Information Server 4.0 :
http://www.microsoft.com/Downloads/Release.asp?ReleaseId=24000
Internet Information Server 5.0 :
http://www.microsoft.com/Downloads/Release.asp?ReleaseId=23999
Bulletin de sécurité Microsoft :
http://www.microsoft.com/technet/security/bulletin/MS00-060.asp
Faq Microsoft :
http://www.microsoft.com/technet/security/bulletin/fq00-060.asp