FPSE : Vulnérabilité liée à un risque de surcharge de la mémoire tampon dans l'outil de déploiement à distance (RAD, Remote Application Deployment) de Visual Studio

Traductions disponibles Traductions disponibles
Numéro d'article: 300477 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F300477
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

Résumé

Microsoft Internet Information Server 4.0 et Internet Information Services 5.0 (IIS) incluent les extensions serveur Microsoft FrontPage afin de faciliter le développement de sites et d'applications Web. Les extensions serveur FrontPage incluent un sous-composant facultatif pour les serveurs de développement appelé Visual Studio RAD (Remote Application Deployment). Si vous installez ce composant facultatif sur un ordinateur au cours de l'installation de Microsoft Windows 2000, le message suivant s'affiche :
Vous avez choisi d'installer le support de déploiement à distance Visual InterDev RAD. Ce support doit uniquement être installé sur des serveurs de développement, car RAD permet aux auteurs d'inscrire des composants serveur et de modifier les paramètres COM+, ce qui affecte l'état du serveur en cours d'exécution. Si vous installez le support de déploiement à distance RAD, vous devez régulièrement vérifier les paramètres des autorisations de vos sites Web FrontPage pour vous assurer qu'aucun utilisateur non souhaité n'a obtenu de privilèges de création.
Ce sous-composant permet aux utilisateurs de Visual InterDev d'inscrire et d'annuler l'inscription des composants de programmation sur le serveur IIS. Ce sous-composant contient une mémoire tampon non contrôlée dans une section qui traite des informations d'entrée.

Même si l'hypothèse est peu probable, un utilisateur malveillant pourrait exploiter cette vulnérabilité et attaquer un serveur sur lequel ce sous-composant est installé, en ouvrant une session Web sur le serveur et en transférant à dessein un paquet mal formé sur le système.

Plus d'informations

Une explication plus complète et un correctif pris en charge sont disponibles dans le bulletin de sécurité Microsoft MS01-035 :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-035.asp
Pour plus d'informations sur des questions de sécurité, consultez le site Web de Microsoft TechNet suivant :
http://www.microsoft.com/technet/security/

Propriétés

Numéro d'article: 300477 - Dernière mise à jour: lundi 24 février 2014 - Version: 4.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft FrontPage 2000 Server Extensions
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
Mots-clés : 
kbnosurvey kbarchive kbqfe kbhotfixserver kbdta kbinfo KB300477
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com