Risque

  • Elévation de privilèges ;
  • déni de service ;
  • accès aux sources des scripts ;
  • cross Site Scripting.

Systèmes affectés

Tout système possédant Microsoft Internet Information Service (IIS) versions 4.0 (Windows NT 4), 5.0 et 5.1 (Windows 2000).

Résumé

Plusieurs vulnérabilités ont été découvertes dans IIS de Microsoft.

Description

  • Un problème existe dans le lancement des ISAPI (Intern Service Application Programming Interface), permettant une élévation de privilège dans certaines conditions ;
  • la façon dont IIS alloue la mémoire pour les requetes WebDAV (Web based Distributed Authoring and Versioning) conduit à un déni de service dans certains cas ;
  • un utilisateur peut avoir accès aux sources des scripts des pages dynamiques ;
  • un « Cross Site Scripting » peut se produire dans les pages d'administration.

Solution

Appliquer le correctif de Microsoft disponible en téléchargement. (Cf section Documentation)
Ce correctif est cumulatif et regroupe tous les correctifs précédents destinés à IIS.

Documentation

Avis #MS02-062 de Microsoft :

http://www.microsoft.com/technet/security/bulletin/MS02-062.asp