Correctif disponible pour une nouvelle variante du problème de sécurité de lecture de fragments de fichier par .HTR

Traductions disponibles Traductions disponibles
Numéro d'article: 285985 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F285985
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

Symptômes

Microsoft a diffusé un correctif qui résout un problème de sécurité dans Internet Information Server (IIS) 4.0 et Internet Information Services (IIS) 5.0. Dans des conditions exceptionnelles, ce problème de sécurité peut permettre à un utilisateur malveillant de lire des fragments de fichiers sur un serveur Web.

Ce problème de sécurité implique une nouvelle variante du problème de sécurité de lecture de fragment de fichier par .HTR, décrit dans le Bulletin de sécurité Microsoft MS00-044. À l'instar des autres variantes, celle-ci peut permettre à un utilisateur malveillant d'avoir accès à un fichier qui sera alors traité par l'extension .htr ISAPI. Il en résulte que des fragments de fichier du côté serveur, tels que des fichiers .asp, peuvent être envoyés à l'utilisateur malveillant. Ce problème de sécurité ne permet pas l'ajout, la modification ni la suppression de fichiers sur le serveur, ni l'accès à un fichier sans autorisation.

Un nombre significatif de restrictions apparaissent dans ce problème de sécurité :

  • Pendant un traitement normal .htr, le résultat est l'élimination des données les plus susceptibles de contenir des informations importantes.
  • La mémoire du serveur doit fortuitement contenir des zéros afin que les fragments de fichier puissent être envoyés.
  • Si les consignes ont été suivies quant à la nécessité d'éviter de stocker des informations importantes dans des fichiers .asp et autres fichiers côté serveur, les fichiers ne devraient comporter aucune information importante.
Les utilisateurs ayant précédemment désactivé la fonctionnalité .htr ne sont pas concernés par ce problème de sécurité. Microsoft recommande à tous les utilisateurs de désactiver la fonctionnalité .htr, à moins qu'une raison professionnelle cruciale ne les en empêche. Pour ces derniers, un correctif éliminant ce problème de sécurité est disponible.

Résolution

Internet Information Services 5.0

Un correctif est désormais disponible auprès de Microsoft, mais il est conçu uniquement pour corriger le problème décrit dans cet article, et ne doit être appliqué qu'aux systèmes reconnus comme étant vulnérables. Vérifiez l'accessibilité physique de votre ordinateur, la connectivité réseau et Internet, ainsi que d'autres facteurs afin de déterminer le niveau de risque auquel est soumis votre ordinateur. Pour cela, consultez le Bulletin de sécurité Microsoft. Ce correctif peut recevoir des modifications supplémentaires à tout moment pour augmenter la qualité du produit. Si votre ordinateur est réellement exposé, Microsoft vous recommande d'appliquer ce correctif maintenant. Sinon, attendez la sortie du prochain Service Pack de Windows 2000 qui contiendra ce correctif.

Pour résoudre ce problème immédiatement, téléchargez le correctif en suivant les instructions ci-après ou contactez les Services de Support technique Microsoft. Vous trouverez toutes les informations relatives aux numéros de téléphone et coûts d'assistance à l'adresse suivante :

http://support.microsoft.com/directory/overview.asp
REMARQUE : Dans certains cas, aucun frais de support technique par téléphone ne vous sera facturé si un technicien du Support technique Microsoft détermine qu'une mise à niveau spécifique peut résoudre votre problème. Les frais de support technique concernent les questions et problèmes supplémentaires qui n'entrent pas dans le cadre de la mise à niveau en question.

Les fichiers ci-après sont disponibles pour téléchargement sur le Centre de téléchargement Microsoft.
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285985_w2k_sp3_x86_en.exe maintenant

Pour plus d'informations sur le téléchargement des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
119591 Disponibilité des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a utilisé le logiciel de détection de virus le plus récent dès sa publication pour analyser ce fichier contre les virus. Une fois publié, le fichier est hébergé sur des serveurs sécurisés qui empêchent toute modification non autorisée sur ce fichier.

La version anglaise de ce correctif doit disposer des attributs de fichier suivants ou de ceux d'une version ultérieure :
   Date        Heure  Version    Taille  Nom du fichier  Plate-forme
   -----------------------------------------------------------------
   22/01/2001  16:09  4.2.756.1  54 560  Ism.dll         x86
REMARQUE : En raison des liens de dépendance de fichier, ce correctif d'urgence nécessite le Service Pack 5 ou le Service Pack 6a de Windows NT 4.0

Statut

Microsoft a confirmé que ce problème pouvait entraîner une défaillance dans la protection du système dans ISS 4.0 et 5.0.

Plus d'informations

Pour plus d'informations, consultez le site Internet de Microsoft suivant :
http://www.microsoft.com/technet/security/bulletin/ms01-004.mspx
Pour plus d'informations sur les procédures d'installation de Windows 2000 et des correctifs pour Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
249149 Installation de Microsoft Windows 2000 et des correctifs pour Windows 2000

Propriétés

Numéro d'article: 285985 - Dernière mise à jour: lundi 3 février 2014 - Version: 2.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
Mots-clés : 
kbnosurvey kbarchive kbqfe kbhotfixserver kbbug kbfix kbgraphxlinkcritical kbwin2000presp3fix kbwin2000sp3fix kbwinnt400presp7fix KB285985
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com