MS02-026 : Mémoire tampon non vérifiée dans le processus de traitement ASP.NET (français)

Numéro d'article: 322294 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

Symptômes

Une vulnérabilité de saturation de la mémoire tampon existe dans Microsoft ASP.NET. Un intrus qui a été en mesure d'exploiter cette vulnérabilité pourrait faire redémarrer l'application qui s'exécute sur le serveur Web. De plus, bien que Microsoft n'ait pas été en mesure de le prouver, un intrus pourrait exploiter cette vulnérabilité pour exécuter du code sur le serveur Web. Ce code pourrait s'exécuter dans le contexte de sécurité du processus de travail ASP.NET (Aspnet_wp.exe), qui utilise un compte sans privilège par défaut.

Cette vulnérabilité affecte uniquement les applications ASP.NET qui utilisent le mode StateServer pour gérer les informations d'état de la session. Le mode StateServer n'est pas le mode par défaut. Enfin, cette vulnérabilité affecte uniquement les applications qui utilisent le mode StateServer et également des cookies. Cette vulnérabilité n'affecte pas les applications qui utilisent le mode StateServer sans cookies.

Cause

Cette vulnérabilité se produit car une fonction qui traite les données d'un cookie dans le service ASPState ne peut pas vérifier correctement la longueur des cookies qui lui sont passés.

Résolution

Un correctif est désormais disponible auprès de Microsoft, mais il ne vise qu'à corriger le problème décrit dans cet article. Il ne doit être appliqué qu'aux ordinateurs susceptibles de subir une attaque. Vérifiez l'accessibilité physique de votre ordinateur, la connectivité réseau et Internet, ainsi que d'autres facteurs afin de déterminer le niveau de risque auquel est soumis votre ordinateur. Reportez-vous au bulletin de sécurité Microsoft (en anglais) associé pour vous aider à déterminer le niveau de risque. Ce correctif peut être soumis à des tests supplémentaires. Si votre ordinateur est réellement exposé, Microsoft vous recommande d'utiliser ce correctif dès à présent. Sinon, attendez la sortie du prochain Service Pack Microsoft .NET Framework qui le contiendra.

Pour résoudre ce problème dès à présent, téléchargez ce correctif en suivant les instructions fournies plus loin dans cet article ou procurez-vous le correctif auprès des services de Support technique Microsoft. Pour obtenir la liste complète des numéros de téléphone des services de Support technique Microsoft, ainsi que des informations relatives aux frais de support technique, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.microsoft.com/default.aspx?LN=FR&x=17&y=13
REMARQUE : dans certains cas, aucun frais de support technique par téléphone ne vous sera facturé si un technicien du Support technique Microsoft détermine qu'une mise à jour spécifique peut résoudre votre problème. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes non traités par la mise à jour en question.

Conditions préalables

Cette mise à jour exige le Service Pack 1 Microsoft .NET Framework.Pour plus d'informations sur l'obtention du dernier Service Pack pour le .NET Framework, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
318836 INFO : Comment faire pour obtenir le dernier Service Pack .NET Framework

Informations sur le téléchargement

Pour télécharger la mise à jour pour ce problème, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais):
http://msdn.microsoft.com/netframework/downloads/updates/asphotfix.asp
Date de publication : 6 juin 2002

Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
119591 Comment obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.

Options d'installation

La ligne de commande suivante installe la mise à jour sans aucune intervention de l'utilisateur et ne force pas l'ordinateur à redémarrer :
ndp10_qfem_q322294_fr.exe /Q
AVERTISSEMENT : Consultez les problèmes d'installation ci-dessous et notez que votre ordinateur est vulnérable tant qu'il n'a pas été redémarré.

Problèmes d'installation

Pour plus d'informations sur les problèmes d'installation avec ce bulletin de sécurité, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
324292 INFO : Problèmes d'installation avec une installation en mode silencieux du bulletin de sécurité MS02-026

Informations sur les fichiers

Les fichiers suivants sont copiés dans le dossier %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ :
   Version       Nom de fichier
   -------------------------------
   1.0.3705.272  Aspnet_isapi.dll
   1.0.3705.272  Aspnet_wp.exe
   1.0.3705.272  Aspnet_regiis.exe
       --        Aspnet_perf.ini
       --        Aspnet_perf2.ini
   1.0.3705.272  System.Web.dll
				
Les fichiers suivants sont copiés dans le dossier %WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\ :
   Version  Nom de fichier
   -----------------------
   --       SmartNavIE5.js
   --       SmartNav.js
				

Statut

Microsoft a confirmé que ce problème pouvait entraîner une certaine faille de sécurité dans Microsoft ASP.NET.

Plus d'informations

Pour plus d'informations sur ce problème de sécurité, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais):
http://www.microsoft.com/technet/security/bulletin/MS02-026.asp

Propriétés

Numéro d'article: 322294 - Dernière mise à jour: vendredi 20 février 2004 - Version: 3.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft ASP.NET 1.0
  • Microsoft .NET Framework 1.0
Mots-clés : 
kbbug kbfix kbnetframe100presp2fix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB322294
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com