Agence nationale
de la sécurité des
systèmes d'information
No CERTA-2009-AVI-215
| S . G . D . S . N Agence nationale de la sécurité des systèmes d'information |
|
Paris, le 10 juin 2009 No CERTA-2009-AVI-215 |
Affaire suivie par :
CERTA
Objet : Vulnérabilités dans
Internet Information Services (IIS)
| Conditions d'utilisation de ce document : | http://www.certa.ssi.gouv.fr/certa/apropos.html |
| Dernière version de ce document : | http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-215 |
Une gestion de version détaillée se trouve à la fin de ce document.
Des vulnérabilités ont été identifiées dans le serveur Web Microsoft Internet Information Services utilisé avec WebDAV. L'une d'elle a fait l'objet de l'alerte CERTA-2009-ALE-007.
L'exploitation par le biais de requêtes spécialement construites permet à une personne distante d'élever ses privilèges et de contourner des phases d'authentification mises en place.
Des vulnérabilités ont été identifiées dans le serveur Web Microsoft Internet Information Services utilisé avec WebDAV. L'une d'elle a fait l'objet de l'alerte CERTA-2009-ALE-007.
L'exploitation par le biais de requêtes spécialement construites permet à une personne distante d'élever ses privilèges et de contourner des phases d'authe ntification mises en place.
Se référer au bulletin de sécurité Microsoft MS09-020 pour l'obtention des correctifs (cf. section Documentation).
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-007/
http://www.microsoft.com/france/technet/security/Bulletin/MS09-020.mspx
http://www.microsoft.com/technet/security/Bulletin/MS09-020.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1122
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1535
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1676