{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"","content":"## Description\n\nOn peut d\u00e9signer trois cat\u00e9gories d'utilisateurs des serveurs g\u00e9r\u00e9s par\nFrontPage :\n\n1. les administrateurs qui administrent le serveur web\n2. les auteurs (authors) qui cr\u00e9ent et modifient les pages web du site\n3. les utilisateurs (users) : toute personne susceptible de naviguer\n sur le site web, y compris l'utilisateur invit\u00e9 IUSR\\_ si l'acc\u00e8s\n anonyme est activ\u00e9.\n\nLes modules d'extension de FrontPage peuvent \u00eatre install\u00e9s\nautomatiquement avec Internet Information Server sur un serveur Windows\nNT. Ils sont aussi utilis\u00e9s par d'autres gestionnaires de site web tels\nque Visual InterDev. Une installation automatique rend par d\u00e9faut les\nmodules inaccessibles \u00e0 distance, ce qui est le fonctionnement\nrecherch\u00e9.\n\nSous Windows NT comme sous Unix, les permissions d'un r\u00e9pertoire peuvent\n\u00eatre modifi\u00e9es de fa\u00e7on r\u00e9cursive, c'est-\u00e0-dire que les modifications\nseront appliqu\u00e9es \u00e0 tous ses fichiers et sous-r\u00e9pertoires.\n\nLes modules d'extension sont situ\u00e9s dans le r\u00e9pertoire \\_vti_bin/,\n\\_vti_bin/\\_vti_aut/, et \\_vti_bin/\\_vti_adm/ install\u00e9s dans le\nr\u00e9pertoire racine du serveur web. Ils sont au nombre de\ntrois[^1^](#foot32) :\n\n1. \\_vti_bin/shtml.dll qui g\u00e8re l'interaction entre l'utilsateur\n consultant le site web et les formulaires HTML. Il doit \u00eatre\n accessible par tout utilisateur.\n2. \\_vti_bin/\\_vti_adm/admin.dll commande l'administration du site web,\n et dont l'acc\u00e8s doit \u00eatre restreint aux administrateurs du site web.\n3. \\_vti_bin/\\_vti_aut/author.dll qui sert \u00e0 l'\u00e9dition distante des\n pages du site web, et dont l'acc\u00e8s doit \u00eatre limit\u00e9 aux\n administrateurs du site ainsi qu'aux seuls auteurs qui ont\n l'autorisation de modifier les pages de ce site.\n\nUn administrateur du site peut changer par inadvertance les privil\u00e8ges\npar d\u00e9faut de ces r\u00e9pertoires, en changeant de fa\u00e7on r\u00e9cursive les\nprivil\u00e8ges d'un r\u00e9pertoire parent (situ\u00e9 en amont dans l'arborescence du\ndisque sur lequel ils sont install\u00e9s).\n\nIl rend alors son serveur vuln\u00e9rable.\n\n## Solution\n\nIl faut v\u00e9rifier et appliquer, si n\u00e9cessaire, les permissions des\nr\u00e9pertoires comme suit :\n\n- Sous Windows NT :\n - \\_vti_bin utilisateurs (rx)(rx)[^2^](#foot38), auteurs (rx)(rx),\n administrateurs (rx)(rx).\n - \\_vti_adm administrateurs (rx)(rx) pas d'acc\u00e8s aux auteurs ou\n aux utilisateurs.\n - \\_vti_aut auteurs (rx)(rx) administrateurs (rx)(rx) pas d'acc\u00e8s\n aux utilisateurs\n\n- Sous Unix, c'est \u00e0 partir du fichier d'acc\u00e8s du\n serveur[^3^](#foot40) que FrontPage g\u00e8re une liste des utilisateurs,\n groupes et privil\u00e8ges distincte de celle utilis\u00e9e par le syst\u00e8me, il\n faut alors modifier les param\u00e8tres de ce fichier de la m\u00eame fa\u00e7on\n qu'on g\u00e8re les permissions des scripts ISAPI et CGI[^4^](#foot41)\n conform\u00e9ment au tableau [2](#tab:permissions).\n\n \n\n
\n\n \n \n \n \n \n \n \n \n \n \n
Tableau 2: permissions \u00e0 associer aux modules\n d'extensions de FrontPage
\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
\u00a0Administrateur(s)Auteur(s)Utilisateurs
_vti_bin/ et shtml.exeGET, POSTGET POSTGET POST
_vti_bin/_vti_adm/ et admin.exeGET, POSTPas d'acc\u00e8sPas d'acc\u00e8s
_vti_bin//_vti_aut/ et author.exeGET, POSTGET POSTPas d'acc\u00e8s
\n \n
\n\n **Tableau 2:** permissions \u00e0 associer aux modules d'extensions de\n FrontPage\n\n
\n\n \n","cves":[],"links":[{"title":"Documentation de Microsoft sur FrontPage98 Server Extensions Ressource Kit :","url":"http://officeupdate.microsoft.com/frontpage/wpp/serk98/"},{"title":"Avis du CIAC :","url":"http://www.ciac.org/ciac/bulletins/k-048.shtml"},{"title":"Documentation de Microsoft sur FrontPage98 Server Extensions Ressource Kit :","url":"http://officeupdate.microsoft.com/frontpage/wpp/serk/scintro.htm"}],"reference":"CERTA-2000-AVI-011","revisions":[{"description":"version initiale.","revision_date":"2000-06-27T00:00:00.000000"}],"risks":[{"description":"D\u00e9figuration de site web. le ciac indique que le risque est \u00e9lev\u00e9, car de multiples pages web ont d\u00e9j\u00e0 \u00e9t\u00e9 d\u00e9figur\u00e9es par exploitation des permissions des modules d'extensions de frontpage (frontpage server extensions ressource kit)"}],"summary":"Les modules d'extensions de FrontPage (Frontpage Server Extensions\nRessource Kit) constituent un jeu de programmes permettant la gestion de\nsite web : compl\u00e9ment \u00e0 l'administration du serveur, modifications \u00e0\ndistance des pages web et d'autres outils comme, par exemple, le tri des\npages web, et suivi de fils de discussions dans les forums etc.\n\nUn administrateur peut rendre, par inadvertance, les modules de gestion\nde site web de FrontPage ex\u00e9cutables par tous, en changeant les\npermissions appliqu\u00e9es par d\u00e9faut aux r\u00e9pertoires d'un site web g\u00e9r\u00e9 par\nFrontPage.\n","title":"Probl\u00e8mes de privil\u00e8ges dans les extensions de FrontPage","vendor_advisories":[]}