MS02-053 : Une requête à l'interprète SmartHTML peut monopoliser les ressources du processeur du serveur Web

Traductions disponibles Traductions disponibles
Numéro d'article: 324096 - Voir les produits auxquels s'applique cet article
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

Symptômes

L'interprète SmartHTML (Shtml.dll) fait partie des extensions serveur FrontPage ; il prend en charge les formulaires Web et autre contenu dynamique FrontPage. Cet interprète a un défaut qui se révèle lorsqu'il traite une requête pour un type particulier de fichier Web, si cette requête inclut certaines autres caractéristiques. Une telle requête peut faire en sorte que l'interprète consomme une grande partie, voire la totalité, des capacités du processeur jusqu'au redémarrage du service Web. Un utilisateur malveillant pourrait utiliser cette faiblesse pour mener une attaque de refus de service sur un serveur Web affecté.

Facteurs atténuants

  • Cette faiblesse ne permet pas de prendre une action de plus grande ampleur sur le serveur. Elle ne permet pas à un utilisateur malveillant d'ajouter, de supprimer ni de modifier des données sur le serveur.
  • L'outil IIS Lockdown, s'il est utilisé pour configurer un serveur Web statique, désactive l'interprète SmartHTML. Les serveurs sur lesquels cet outil a été utilisé ne peuvent pas être affectés par ce problème.
  • Par défaut, les extensions serveur FrontPage sont installées sur Microsoft Internet Information Server 4.0 et Microsoft Internet Information Services 5.0 et 5.1, mais ne peuvent pas être supprimées. Les serveurs sur lesquels Internet Information Server ou Internet Information Services a été supprimé ne peuvent pas être affectés par ce problème.

Résolution

Extensions serveur Microsoft FrontPage 2002

Pour plus d'informations sur la mise à jour de la sécurité, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
329086 FP2002 : Mise à jour de sécurité des extensions serveur FrontPage 2002 : 25 septembre 2002
La version anglaise de ce correctif dispose des attributs de fichier répertoriés dans le tableau suivant ou ceux d'une version ultérieure.
   Version      Nom de fichier
   ---------------------------
   10.0.4219.0  Fp5awel.dll
				
Microsoft vous recommande également d'installer la mise à jour des extensions serveur FrontPage 2002 publiée en janvier 2002. Pour plus d'informations sur cette mise à jour, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
317296 Présentation générale de la mise à jour des extensions serveur FrontPage 2002 : 28 janvier 2002

Extensions serveur Microsoft FrontPage 2000

Pour plus d'informations sur la mise à jour de la sécurité, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
329085 FP2000 : Mise à jour de sécurité des extensions serveur FrontPage 2000 : 25 septembre 2002
La version anglaise de ce correctif dispose des attributs de fichier répertoriés dans le tableau suivant ou ceux d'une version ultérieure.
   Version      Nom de fichier
   ---------------------------
   4.0.2.6426   Fp4awel.dll
				

Windows XP

Un correctif est désormais disponible auprès de Microsoft, mais il ne vise qu'à corriger le problème décrit dans cet article. Il ne doit être appliqué qu'aux ordinateurs susceptibles de subir une attaque. Vérifiez l'accessibilité physique de votre ordinateur, la connectivité réseau et Internet, ainsi que d'autres facteurs afin de déterminer le niveau de risque auquel est soumis votre ordinateur. Reportez-vous au bulletin de sécurité Microsoft (en anglais) associé pour vous aider à déterminer le niveau de risque. Ce correctif peut être soumis à des tests supplémentaires. Si votre ordinateur est réellement exposé, Microsoft vous recommande d'utiliser ce correctif dès à présent. Sinon, attendez la sortie du prochain Windows XP qui le contiendra.

Pour résoudre ce problème dès à présent, téléchargez ce correctif en suivant les instructions fournies plus loin dans cet article ou procurez-vous le correctif auprès des services de Support technique Microsoft. Pour obtenir une liste complète des numéros de téléphone des services de Support technique Microsoft, ainsi que des informations relatives aux frais de support technique, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
REMARQUE : dans certains cas, aucuns frais de support technique par téléphone ne vous seront facturés si un technicien du Support technique Microsoft détermine qu'une mise à jour spécifique peut résoudre votre problème. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes non traités par la mise à jour en question.

Informations sur le téléchargement

Vous pouvez télécharger les fichiers suivants à partir du Centre de téléchargement Microsoft :
Anglais (E.U.) :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Arabe :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Chinois (simplifié) :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Chinois (traditionnel) :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Tchèque :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Danois :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Néerlandais :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Finnois :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Français :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Allemand :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Grec :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Hébreu :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Hongrois :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Italien :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Japonais :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Coréen :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Norvégien :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Polonais :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Portugais :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Portugais (Brésil) :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Russe :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Espagnol :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Suédois :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant

Turc :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant
Date de publication : 25 septembre 2002

Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
119591 Comment obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.

Options d'installation

Vous devez redémarrer votre ordinateur après avoir appliqué cette mise à jour. Celle-ci prend en charge les commutateurs d'installation suivants :
  • -? : affiche la liste des commutateurs d'installation.
  • -u : mode automatique.
  • -f : force la fermeture des autres programmes lors de l'arrêt de l'ordinateur.
  • -n : ne sauvegarde pas les fichiers à supprimer.
  • -o : remplace les fichiers OEM sans avertissement.
  • -z : ne redémarre pas une fois l'installation terminée.
  • -q : mode silencieux (pas d'intervention de l'utilisateur).
  • -l : répertorie les correctifs installés.
  • -x Extrait les fichiers sans exécuter le programme d'installation.
Par exemple, la ligne de commande suivante installe la mise à jour sans aucune intervention de l'utilisateur et ne force pas l'ordinateur à redémarrer :
Q324096_wxp_sp1_x86_fra -u -q -z
AVERTISSEMENT : votre ordinateur reste vulnérable tant que vous ne l'avez pas redémarré.

Informations sur les fichiers

La version anglaise de ce correctif doit avoir les attributs de fichier indiqués dans le tableau ci-dessous ou ceux d'une version ultérieure. Les date et heure de création de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties à l'heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire de l'utilitaire Date et heure du Panneau de configuration.
   Date     Heure   Version     Taille   Nom de fichier
   ----------------------------------------------------
   22/06/02 22:37  10.0.4219.0  1382984  Fp5awel.dll
				
REMARQUE : cette mise à jour peut contenir des fichiers supplémentaires en raison des dépendances des fichiers.


Informations sur le Service Pack Windows 2000

La version Windows 2000 de ce correctif de sécurité est comprise dans le Service Pack 4 Windows 2000 pour les systèmes qui exécutent les extensions serveur FrontPage 2000. Si vous utilisez une autre version des extensions serveur FrontPage, vous devez installer le correctif MS02-053 séparément. Pour résoudre ce problème, procurez-vous le dernier Service Pack Windows 2000. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
260910 Comment faire pour obtenir le dernier Service Pack Windows 2000

Informations sur le correctif pour Windows 2000

Un correctif est désormais disponible auprès de Microsoft, mais il ne vise qu'à corriger le problème décrit dans cet article. Il ne doit être appliqué qu'aux ordinateurs susceptibles de subir une attaque. Vérifiez l'accessibilité physique de votre ordinateur, la connectivité réseau et Internet, ainsi que d'autres facteurs afin de déterminer le niveau de risque auquel est soumis votre ordinateur. Reportez-vous au bulletin de sécurité Microsoft (en anglais) associé pour vous aider à déterminer le niveau de risque. Ce correctif peut être soumis à des tests supplémentaires. Si votre ordinateur est réellement exposé, Microsoft vous recommande d'utiliser ce correctif dès à présent. Sinon, attendez la sortie du prochain Windows 2000 qui le contiendra.

Pour résoudre ce problème dès à présent, téléchargez ce correctif en suivant les instructions fournies plus loin dans cet article ou procurez-vous le correctif auprès des services de Support technique Microsoft. Pour obtenir une liste complète des numéros de téléphone des services de Support technique Microsoft, ainsi que des informations relatives aux frais de support technique, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
REMARQUE : dans certains cas, aucuns frais de support technique par téléphone ne vous seront facturés si un technicien du Support technique Microsoft détermine qu'une mise à jour spécifique peut résoudre votre problème. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes non traités par la mise à jour en question.

Informations sur le téléchargement

Vous pouvez télécharger le fichier suivant à partir du Centre de téléchargement Microsoft (en anglais) :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Q324096 maintenant
Date de publication : 25 septembre 2002

Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
119591 Comment obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.

Options d'installation

Vous devez redémarrer votre ordinateur après avoir appliqué cette mise à jour. Celle-ci prend en charge les commutateurs d'installation suivants :
  • -? : affiche la liste des commutateurs d'installation.
  • -u : mode automatique.
  • -f : force la fermeture des autres programmes lors de l'arrêt de l'ordinateur.
  • -n : ne sauvegarde pas les fichiers à supprimer.
  • -o : remplace les fichiers OEM sans avertissement.
  • -z : ne redémarre pas une fois l'installation terminée.
  • -q : mode silencieux (pas d'intervention de l'utilisateur).
  • -l : répertorie les correctifs installés.
  • -x Extrait les fichiers sans exécuter le programme d'installation.
Par exemple, la ligne de commande suivante installe la mise à jour sans aucune intervention de l'utilisateur et ne force pas l'ordinateur à redémarrer :
q318138_w2k_sp3_x86_fr /q /m /z
AVERTISSEMENT : votre ordinateur reste vulnérable tant que vous ne l'avez pas redémarré.

Informations sur les fichiers

La version anglaise de ce correctif doit avoir les attributs de fichier indiqués dans le tableau ci-dessous ou ceux d'une version ultérieure. Les date et heure de création de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties à l'heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire de l'utilitaire Date et heure du Panneau de configuration.
Date      Heure  Version      Taille    Nom du fichier et chemin d'accès
------------------------------------------------------------------------
27/04/02  24:34  4.0.2.6426   872 557   ???\fp4awel.dll
					
REMARQUE : cette mise à jour peut contenir des fichiers supplémentaires en raison des dépendances des fichiers. Cette mise à jour exige le Service Pack 2 (SP2) ou le Service Pack 1 (SP1) Windows 2000.

Statut

Microsoft a confirmé que ce problème de sécurité pouvait se traduire par une certaine vulnérabilité des produits Microsoft répertoriés au début de cet article. Ce problème a été corrigé pour la première fois dans le Service Pack 4 Microsoft Windows 2000.

Plus d'informations

Pour plus d'informations sur ce problème de sécurité, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://www.microsoft.com/technet/security/bulletin/MS02-053.mspx

Propriétés

Numéro d'article: 324096 - Dernière mise à jour: lundi 24 février 2014 - Version: 4.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Extensions serveur Microsoft FrontPage 2002
  • Microsoft FrontPage 2000 Server Extensions
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows XP Professionnel
Mots-clés : 
kbnosurvey kbarchive kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbsysadmin kbsecurity kbwinxpsp2fix kbsecbulletin kbsechack kbwinxppresp2fix kbwin2ksp4fix KB324096
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com