Une demande WebDAV mal formée peut provoquer l'épuisement par IIS des ressources de l'unité centrale

Traductions disponibles Traductions disponibles
Numéro d'article: 291845 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F291845
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

Symptômes

WebDAV (World Wide Web Distributed Authoring and Versioning) est une extension du protocole HTTP qui permet de créer et de gérer à distance du contenu Web. Dans l'implémentation Windows 2000 du protocole, les services IIS (Microsoft Internet Information Services) 5.0 réalisent le traitement initial de toutes les demandes WebDAV, puis transfèrent les commandes appropriées au processus WebDAV. Il existe toutefois une faille dans la façon dont WebDAV traite un type particulier de demande mal formée. Si un flux de ces demandes mal formées est dirigé vers un serveur affecté, il consomme toutes les ressources de l'unité centrale disponibles sur le serveur.

Facteurs d'atténuation :
  • L'effet d'une attaque mettant à profit cette vulnérabilité est temporaire. Le serveur reprend automatiquement un service normal dès que les demandes mal formées cessent d'arriver.
  • Ce problème de vulnérabilité ne permet en aucune façon à un utilisateur malveillant d'effectuer des demandes WebDAV.
  • Ce problème de vulnérabilité ne permet en aucune façon de mettre en péril les données situées sur un serveur ou de s'octroyer un contrôle administratif sur le serveur.
Microsoft recommande aux clients d'appliquer le correctif décrit dans le présent article à tous les serveurs exécutant les services IIS 5.0. Bien que cela inclue les serveurs Web, d'autres services peuvent aussi nécessiter que IIS 5.0 soit activé. Par exemple, Exchange 2000 Server utilise IIS 5.0 pour fournir les services OWA (Outlook Web Access). Par conséquent, les ordinateurs exécutant Exchange 2000 Server qui fournissent des services OWA doivent implémenter le correctif afin de protéger leurs services IIS 5.0 de cette vulnérabilité.

Résolution

Pour résoudre ce problème, procurez-vous le dernier Service Pack de Windows 2000. Pour plus d'informations, consultez l'article suivant dans la Base de connaissances Microsoft :
260910 Procédure pour obtenir le dernier Service Pack Windows 2000
La version anglaise de ce correctif doit avoir les attributs de fichier suivants ou ceux d'une version ultérieure :
   Date      Heure  Version      Taille   Nom de fichier
   -----------------------------------------------------
   12/03/01  10:57  0.9.3940.20  439 056  Httpext.dll
IMPORTANT : Si vous avez précédemment implémenté la solution préconisée dans l'article Q241520, la boîte de dialogue suivante peut s'afficher lorsque vous installez ce correctif :
Erreur de copie Le programme d'installation ne peut pas copier le fichier httpext.dll. Vérifiez que le chemin d'accès spécifié ci-dessous est correct, ou changez-le et insérez 'Fichiers systèmes de Windows 2000' dans le lecteur spécifié. Copiez les fichiers à partir de : (zone de liste déroulante du dessous) c:\%windir%\system32\inetsrv
Pour éviter l'affichage de cette boîte de dialogue, procédez comme suit pour réactiver WebDAV :
  1. Ouvrez l'Explorateur Windows.
  2. Accédez au dossier %SystemRoot%\System32\Inetsrv.
  3. Cliquez avec le bouton droit sur le fichier Httpext.dll, puis cliquez sur Propriétés.
  4. Cliquez sur l'onglet Sécurité.
  5. Sélectionnez Tout le monde, puis cliquez sur Supprimer.
  6. Activez la case à cocher Permettre aux autorisations pouvant être héritées du parent d'être propagées à cet objet, puis cliquez sur Appliquer.
  7. Cliquez sur OK pour fermer la boîte de dialogue Propriétés.

Contournement

Pour plus d'informations sur la procédure à suivre pour contourner ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
241520 Désactivation de WebDAV pour les services IIS 5.0

Statut

Microsoft a confirmé l'existence de ce problème dans Microsoft Windows 2000. Ce problème a été corrigé dans le Service Pack 2 de Windows 2000.

Plus d'informations

Pour plus d'informations sur cette vulnérabilité, consultez le site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/technet/security/bulletin/ms01-016.mspx
Pour plus d'informations sur l'installation simultanée de Windows 2000 et des correctifs pour Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
249149 Installation de Microsoft Windows 2000 et des correctifs pour Windows 2000

Propriétés

Numéro d'article: 291845 - Dernière mise à jour: mardi 4 février 2014 - Version: 2.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Services 5.0
Mots-clés : 
kbnosurvey kbarchive kbqfe kbhotfixserver kbbug kbfix kbwin2000presp2fix KB291845
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com