Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- injection de code indirecte à distance.
Systèmes affectés
- Microsoft Forefront Unified Access Gateway 2010 ;
- Microsoft Forefront Unified Access Gateway 2010 Update 1 ;
- Microsoft Forefront Unified Access Gateway 2010 Update 2 ;
- Microsoft Forefront Unified Access Gateway 2010 Service Pack 1.
Résumé
Plusieurs vulnérabilités dans Microsoft Forefront Unified Access Gateway permettent à une personne distante malintentionnée d'exécuter du code arbitraire, de provoquer un déni de service ou d'effectuer des injections de code indirectes.
Description
Cinq vulnérabilités ont été découvertes dans Microsoft Forefront Unified Access Gateway :
- trois vulnérabilités permettent d'effectuer des injections de code indirectes (XSS) (CVE-2011-1895, CVE-2011-1896 et CVE-2011-1897) ;
- une vulnérabilité dans une appliquette Java utilisée par Microsoft Forefront Unified Gateway Access permet à une personne distante malintentionnée d'exécuter du code arbitraire (CVE-2011-1969) ;
- une vulnérabilité dans la gestion des fichiers de session (cookie) permet de provoquer un déni de service IIS (CVE-2011-2012).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS11-079 du 11 octobre 2011 :
http://technet.microsoft.com/fr-fr/security/bulletin/MS11-079
http://www.microsoft.com/technet/security/Bulletin/MS11-079.mspx
- Référence CVE CVE-2011-1869 :
https://www.cve.org/CVERecord?id=CVE-2011-1869
- Référence CVE CVE-2011-1895 :
https://www.cve.org/CVERecord?id=CVE-2011-1895
- Référence CVE CVE-2011-1896 :
https://www.cve.org/CVERecord?id=CVE-2011-1896
- Référence CVE CVE-2011-1897 :
https://www.cve.org/CVERecord?id=CVE-2011-1897
- Référence CVE CVE-2011-2012 :
https://www.cve.org/CVERecord?id=CVE-2011-2012
