Agence nationale
de la sécurité des
systèmes d'information
No CERTA-2000-AVI-093
| S . G . D . S . N Agence nationale de la sécurité des systèmes d'information |
|
Paris, le 28 décembre
2000 No CERTA-2000-AVI-093 |
Affaire suivie par :
CERTA
Objet : Vulnérabilité sous
Microsoft IIS (Extensions FrontPage)
| Conditions d'utilisation de ce document : | http://www.certa.ssi.gouv.fr/certa/apropos.html |
| Dernière version de ce document : | http://www.certa.ssi.gouv.fr/site/CERTA-2000-AVI-093 |
Une gestion de version détaillée se trouve à la fin de ce document.
Déni de service
Un utilisateur distant mal intentionné peut, par le biais de formulaires habilement renseignés, entraîner un déni de service sur un serveur IIS.
Les extensions FrontPage (FPSE) sont installées par défaut sur les versions 4.0 et 5.0 d'Internet Information Server. Ces extensions sont censées faciliter le développement et la gestion d'un site sous IIS.
Par le biais d'une vulnérablité
présente dans la gestion des formulaires Web, un
utilisateur mal intentionné peut provoquer un
déni de service, obligeant un redémarrage du
serveur par l'administrateur sur la version 4.0, et un
redémarrage automatique sur la version 5.0.
Un site ne possédant pas de formulaire dans son arborescence est également vulnérable si les extensions FrontPage ont été installées.
Désactiver les extensions FrontPage.
Télécharger le correctif correspondant
à la version d'IIS (Version US).
Microsoft IIS version 4.0 :
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=26704
Microsoft IIS version 5.0 :
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=26277
Bulletin de sécurité Microsoft :
http://www.microsoft.com/technet/security/bulletin/MS00-100.asp
Faq Microsoft :
http://www.microsoft.com/technet/security/bulletin/fq00-100.asp