Connexion

Select the product you need help with

MS02-026�: M�moire tampon non v�rifi�e dans le processus de traitement ASP.NET (fran�ais)

Num�ro d'article: 322294 - Voir les produits auxquels s'applique cet article

Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).

Une vuln�rabilit� de saturation de la m�moire tampon existe dans Microsoft ASP.NET. Un intrus qui a �t� en mesure d'exploiter cette vuln�rabilit� pourrait faire red�marrer l'application qui s'ex�cute sur le serveur Web. De plus, bien que Microsoft n'ait pas �t� en mesure de le prouver, un intrus pourrait exploiter cette vuln�rabilit� pour ex�cuter du code sur le serveur Web. Ce code pourrait s'ex�cuter dans le contexte de s�curit� du processus de travail ASP.NET (Aspnet_wp.exe), qui utilise un compte sans privil�ge par d�faut.

Cette vuln�rabilit� affecte uniquement les applications ASP.NET qui utilisent le mode StateServer pour g�rer les informations d'�tat de la session. Le mode StateServer n'est pas le mode par d�faut. Enfin, cette vuln�rabilit� affecte uniquement les applications qui utilisent le mode StateServer et �galement des cookies. Cette vuln�rabilit� n'affecte pas les applications qui utilisent le mode StateServer sans cookies.

Retour au d�but | Envoyer des commentaires

Cause

Cette vuln�rabilit� se produit car une fonction qui traite les donn�es d'un cookie dans le service ASPState ne peut pas v�rifier correctement la longueur des cookies qui lui sont pass�s.

Retour au d�but | Envoyer des commentaires

R�solution

Un correctif est d�sormais disponible aupr�s de Microsoft, mais il ne vise qu'� corriger le probl�me d�crit dans cet article. Il ne doit �tre appliqu� qu'aux ordinateurs susceptibles de subir une attaque. V�rifiez l'accessibilit� physique de votre ordinateur, la connectivit� r�seau et Internet, ainsi que d'autres facteurs afin de d�terminer le niveau de risque auquel est soumis votre ordinateur. Reportez-vous au bulletin de s�curit� Microsoft (en anglais)

(http://www.microsoft.com/technet/security/bulletin/MS02-026.asp)

associ� pour vous aider � d�terminer le niveau de risque. Ce correctif peut �tre soumis � des tests suppl�mentaires. Si votre ordinateur est r�ellement expos�, Microsoft vous recommande d'utiliser ce correctif d�s � pr�sent. Sinon, attendez la sortie du prochain Service Pack Microsoft�.NET Framework qui le contiendra.

Pour r�soudre ce probl�me d�s � pr�sent, t�l�chargez ce correctif en suivant les instructions fournies plus loin dans cet article ou procurez-vous le correctif aupr�s des services de Support technique Microsoft. Pour obtenir la liste compl�te des num�ros de t�l�phone des services de Support technique Microsoft, ainsi que des informations relatives aux frais de support technique, reportez-vous au site�Web de Microsoft � l'adresse suivante�:

http://support.microsoft.com/default.aspx?LN=FR&x=17&y=13

(http://support.microsoft.com/default.aspx?ln=fr&x=17&y=13)

REMARQUE�: dans certains cas, aucun frais de support technique par t�l�phone ne vous sera factur� si un technicien du Support technique Microsoft d�termine qu'une mise � jour sp�cifique peut r�soudre votre probl�me. Les co�ts habituels du support technique s'appliqueront aux autres questions et probl�mes non trait�s par la mise � jour en question.

Conditions pr�alables

Cette mise � jour exige le Service Pack�1 Microsoft�.NET Framework.Pour plus d'informations sur l'obtention du dernier Service Pack pour le .NET Framework, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft�:

318836

(http://support.microsoft.com/kb/318836/ )

INFO�: Comment faire pour obtenir le dernier Service�Pack�.NET Framework

Informations sur le t�l�chargement

Pour t�l�charger la mise � jour pour ce probl�me, reportez-vous au site Web de Microsoft � l'adresse suivante�(en anglais):

http://msdn.microsoft.com/netframework/downloads/updates/asphotfix.asp

(http://msdn.microsoft.com/netframework/downloads/updates/asphotfix.asp)

Date de publication�: 6�juin�2002

Pour plus d'informations sur la fa�on de t�l�charger des fichiers du Support technique Microsoft, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

119591

(http://support.microsoft.com/kb/119591/ )

Comment obtenir des fichiers de support technique Microsoft aupr�s des services en ligne

Microsoft a analys� ce fichier en vue de d�tecter la pr�sence de virus. Microsoft a utilis� les logiciels de d�tection de virus les plus r�cents disponibles � la date de publication de ce fichier. Le fichier est conserv� sur des serveurs s�curis�s, emp�chant toute modification non autoris�e du fichier.

Options d'installation

La ligne de commande suivante installe la mise � jour sans aucune intervention de l'utilisateur et ne force pas l'ordinateur � red�marrer�:

ndp10_qfem_q322294_fr.exe /Q

AVERTISSEMENT�: Consultez les probl�mes d'installation ci-dessous et notez que votre ordinateur est vuln�rable tant qu'il n'a pas �t� red�marr�.

Probl�mes d'installation

Pour plus d'informations sur les probl�mes d'installation avec ce bulletin de s�curit�, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft�:

324292

(http://support.microsoft.com/kb/324292/ )

INFO�: Probl�mes d'installation avec une installation en mode silencieux du bulletin de s�curit� MS02-026

Informations sur les fichiers

Les fichiers suivants sont copi�s dans le dossier %WINDIR%\Microsoft.NET\Framework\v1.0.3705\�:

   Version       Nom de fichier
   -------------------------------
   1.0.3705.272  Aspnet_isapi.dll
   1.0.3705.272  Aspnet_wp.exe
   1.0.3705.272  Aspnet_regiis.exe
       --        Aspnet_perf.ini
       --        Aspnet_perf2.ini
   1.0.3705.272  System.Web.dll

Les fichiers suivants sont copi�s dans le dossier %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\�:

   Version  Nom de fichier
   -----------------------
   --       SmartNavIE5.js
   --       SmartNav.js

Retour au d�but | Envoyer des commentaires

Statut

Microsoft a confirm� que ce probl�me pouvait entra�ner une certaine faille de s�curit� dans Microsoft�ASP.NET.

Retour au d�but | Envoyer des commentaires

Plus d'informations

Pour plus d'informations sur ce probl�me de s�curit�, reportez-vous au site�Web de Microsoft � l'adresse suivante�(en anglais):

http://www.microsoft.com/technet/security/bulletin/MS02-026.asp

(http://www.microsoft.com/technet/security/bulletin/MS02-026.asp)

Retour au d�but | Envoyer des commentaires

Propri�t�s

Num�ro d'article: 322294 - Derni�re mise � jour: vendredi 20 f�vrier 2004 - Version: 3.2

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

Microsoft ASP.NET 1.0
Microsoft .NET Framework 1.0

kbbug kbfix kbnetframe100presp2fix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB322294

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Retour au d�but | Envoyer des commentaires