{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"JRun 3.0, 3.1 et 4.0 pour IIS sous Windows.","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"ColdFusion MX (version 6.0 et ant\u00e9rieures) pour IIS 4.0 et 5.0 sous Windows ;","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nColdFusion et JRun sont des applications cr\u00e9es par Macromedia utilisant\nla technologie ISAPI (Internet Services Application Programming\nInterface) et permettant de d\u00e9velopper des extensions pour les serveurs\nweb. ISAPI est une technologie permettant aux d\u00e9veloppeurs de site web\nde fournir des services plus ou moins \u00e9labor\u00e9es par le biais d'une\ninterface web.\n\nLe filtre ISAPI g\u00e9rant les noms de fichier poss\u00e8de une vuln\u00e9rabilit\u00e9 de\ntype d\u00e9bordement de m\u00e9moire.\n\nUn utilisateur mal intentionn\u00e9 peut, en utilisant des noms de fichiers\ntr\u00e8s longs, ex\u00e9cuter du code arbitraire sur le serveur IIS avec les\nprivil\u00e8ges tr\u00e8s \u00e9lev\u00e9s de l'utilisateur SYSTEM.\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 Macromedia (voir paragraphe\ndocumentation) pour conna\u00eetre la disponibilit\u00e9 des correctifs.\n\nNota : Le correctif de JRun est un correctif cumulatif qui corrige\nd'autres erreurs.\n\nLe Service Pack 1 et le Service Pack 1a pour JRun corrigent les\nvuln\u00e9rabilit\u00e9s couvertes par le correctif cumulatif. Ce dernier ne doit\ndonc pas \u00eatre appliqu\u00e9 si l'un de ces Service Pack a \u00e9t\u00e9 install\u00e9.\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 de Macromedia concernant ColdFusion :","url":"http://www.macromedia.com/v1/handlers/index.cfm?ID=23161"},{"title":"Bulletin de s\u00e9curit\u00e9 de Macromedia concernant JRun :","url":"http://www.macromedia.com/v1/handlers/index.cfm?ID=23500"}],"reference":"CERTA-2002-AVI-247","revisions":[{"description":"version initiale.","revision_date":"2002-11-15T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"Il existe une vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire exploitable \u00e0\ndistance dans les applications ColdFusion et JRun pour IIS sous Windows.\n","title":"Vuln\u00e9rabilit\u00e9s de JRun et ColdFusion pour Microsoft IIS","vendor_advisories":[{"published_at":null,"title":"bulletin de s\u00e9curit\u00e9 Macromedia","url":null}]}