 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 15 septembre
2010
No CERTA-2010-AVI-434 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
IIS
Tableau 1: Gestion du document
| Référence |
CERTA-2010-AVI-434 |
| Titre |
Vulnérabilités
dans IIS |
| Date de la première
version |
15 septembre 2010 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Microsoft MS10-065 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- déni de service à distance ;
- élévation de privilèges.
IIS sur toutes les éditions de Windows XP, Vista, Seven,
Server 2003 et Server 2008, et pour toutes les architectures.
Plusieurs vulnérabilités affectent le serveur
IIS. La plus grave permet à un utilisateur
malintentionné d'exécuter du code arbitraire
à distance.
Trois vulnérabilité du serveur IIS viennent
d'être publiées :
- (CVE-2010-1899) le traitement défectueux de
certaines URL par les serveurs IIS ASP est exploitable par un
utilisateur malveillant pour provoquer un déni de
service à distance ;
- (CVE-2010-2730) le traitement défectueux de
certaines requêtes HTTP par les serveurs IIS 7.5 avec
fonctionnalité FastCGI activée est exploitable
par un utilisateur malveillant pour exécuter du code
arbitraire à distance ;
- (CVE-2010-2731) un défaut dans IIS 5.1 sur windows
XP SP3 permet à un utilisateur malveillant de
s'affranchir de l'authentification pour accéder
à des ressources protégées.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 15 septembre 2010
- version initiale.
CERTA
2012-01-04
|
|
)
