Risque

  • Exécution de code arbitraire à distance ;
  • élévation de privilèges.

Systèmes affectés

Les systèmes d'exploitation suivants sont affectés (utilisant Internet Information Services versions 5.0 à 7.0) :

  • Windows 2000 SP4 (MS08-005) ;
  • Windows XP SP2 (MS08-005, MS08-006) ;
  • Windows XP Professionnel Edition x64 et Windows XP Professionnel Edition x64 SP2 (MS08-005, MS08-006) ;
  • Windows Server 2003 SP1, Windows Server 2003 SP2 (MS08-005, MS08-006) ;
  • Windows Server 2003 Edition x64 et Windows Server 2003 Edition x64 SP2 (MS08-005, MS08-006) ;
  • Windows Server 2003 avec SP1 pour les systèmes Itanium et Windows Server 2003 avec SP2 pour les systèmes Itanium (MS08-005, MS08-006) ;
  • Windows Vista et Windows Vista x64 (MS08-005).

Résumé

Deux vulnérabilités touchant Microsoft Internet Information Services (IIS) permettent à une personne malintentionnée d'exécuter du code arbitraire à distance ou d'élever ses privilèges.

Description

Deux vulnérabilités affectent Microsoft Internet Information Services :

  • La première vulnérabilité (MS08-005) concerne les services W3SVC, FTPSVC et NNTPSVC. Elle permet à une personne locale d'élever ses privilèges ;
  • La deuxième vulnérabilité (MS08-006) concerne la façon dont IIS traite les entrées de données dans les pages web ASP. Une personne malintentionnée pourrait ainsi exécuter du code arbitraire à distance en envoyant des données spécialement conçues au serveur.

Solution

Se référer aux bulletins de sécurité MS08-005 et MS08-006 de Microsoft pour l'obtention des correctifs (cf. section Documentation).

Documentation