CORRECTIF : Les demandes contenant des signes de pourcentage (%) sans séquence d’échappement peuvent servir à contourner la demande de filtrage module dans IIS 7.0

Symptômes

La fonction d’assistance d’Active Server Pages (ASP) classique Request.QueryString (également connu sous le nom, la fonction de « clé ») renvoie des valeurs dans laquelle la fonction supprime les caractères de signe de pourcentage (%) sans séquence d’échappement. Par conséquent, les demandes contenant des signes de pourcentage (%) sans séquence d’échappement peuvent servir à contourner le filtrage de la requête. Par exemple, si la chaîne exec n’est bloquée, un utilisateur malveillant peut envoyer une chaîne e % xec qui ignore la vérification.

Résolution

Informations sur le téléchargement

Les fichiers suivants sont disponibles pour téléchargement à partir du Microsoft Download Center :

Mise à jour pour Windows Server 2008 (KB960728)

Download Télécharger le package de mise à jour pour Windows Server 2008 maintenant.

Mise à jour pour Windows Server 2008 pour systèmes Itanium (KB960728)

Download Télécharger la mise à jour pour Windows Server 2008 pour le package de systèmes Itanium maintenant.

Mise à jour pour Windows Server 2008 x64 Edition (KB960728)

Download Télécharger le package de mise à jour pour Windows Server 2008 x64 édition maintenant.

Mise à jour pour Windows Vista (KB960728)

Download Téléchargez maintenant le package de mise à jour pour Windows Vista.

Mise à jour pour Windows Vista pour les systèmes x64 (KB960728)

Download Télécharger la mise à jour pour Windows Vista pour le package de systèmes basés sur les x64 maintenant.

Pour plus d'informations sur la façon de télécharger des fichiers de support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
Microsoft a vérifié que ce fichier ne comportait pas de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date à laquelle le fichier a été validé. Le fichier est stocké sur des serveurs sécurisés, ce qui empêche toute modification non autorisée du fichier.

Informations sur le correctif

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes qui rencontrent le problème décrit dans cet article. Ce correctif va peut-être subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contiendra ce correctif.

Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone du Service clientèle et support technique de Microsoft ou pour créer une demande de service distincte, visitez le site Web de Microsoft à l'adresse suivante :Remarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.

D'importants correctifs de Windows Vista et Windows Server 2008 sont inclus dans les mêmes packages. Toutefois, un seul de ces produits peut être répertorié dans la page demande de correctif « ». Pour demander le package de correctif qui s’applique à Windows Vista et Windows Server 2008, sélectionnez simplement le produit figurant sur la page.

Conditions préalables

Vous devez disposer de Windows Vista Service Pack 1 ou Windows Server 2008 installé pour appliquer ce correctif.

Nécessite un redémarrage

Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif ne remplace aucun autre correctif.

Informations sur les fichiers

La version anglaise de ce correctif dispose des attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, elles sont converties en heure locale. Pour trouver la différence entre l’UTC et l’heure locale, utilisez l’onglet fuseau horaire dans l’élément de Date et heure dans le panneau de configuration.
IIS 7.0, x86
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Modrqflt.dll7.0.6001.2233137,88816-Dec-200804:29x86
Admwprox.dll7.0.6001.2233151,71216-Dec-200804:26x86
Ahadmin.dll7.0.6001.2233127,13616-Dec-200804:26x86
Appcmd.exe7.0.6001.22331154,11216-Dec-200802:42x86
Appcmd.xmlNe s'applique pas3,65418-Dec-200721:00Ne s'applique pas
Applicationhost.configNe s'applique pas7,98918-Dec-200721:00Ne s'applique pas
Appobj.dll7.0.6001.22331311,80816-Dec-200804:26x86
Aspnetca.exe7.0.6001.22331182,78416-Dec-200802:42x86
Aspnet_schema.xmlNe s'applique pas38,78618-Dec-200721:00Ne s'applique pas
Fx_schema.xmlNe s'applique pas26,97118-Dec-200721:00Ne s'applique pas
Iismig.dll7.0.6001.22331209,40816-Dec-200804:32x86
Iisreg.dll7.0.6001.2233189,08816-Dec-200804:27x86
Iisres.dll7.0.6001.22331193,02416-Dec-200802:42x86
Iisreset.exe7.0.6001.2233114,84816-Dec-200802:42x86
Iisrstap.dll7.0.6001.223318 19216-Dec-200804:27x86
Iisrstas.exe7.0.6001.2233131,23216-Dec-200802:42x86
Iisrtl.dll7.0.6001.22331153,60016-Dec-200804:27x86
Iissetup.exe7.0.6001.22331228,86416-Dec-200802:43x86
Iissyspr.dll7.0.6001.2233159,39216-Dec-200804:27x86
Iisutil.dll7.0.6001.22331202,75216-Dec-200804:27x86
Iis_schema.xmlNe s'applique pas77,83015-Dec-200823:22Ne s'applique pas
Nativerd.dll7.0.6001.22331331,26416-Dec-200804:30x86
Redirection.configNe s'applique pas49018-Dec-200721:00Ne s'applique pas
Rsca.dll7.0.6001.2233126,62416-Dec-200804:31x86
Rscaext.dll6.0.6001.2233138,91216-Dec-200804:31x86
Rscaext.xmlNe s'applique pas8,36318-Dec-200721:00Ne s'applique pas
W3ctrlps.dll7.0.6001.223319,21616-Dec-200804:32x86
Wamregps.dll7.0.6001.2233110,75216-Dec-200804:32x86
IIS 7.0, x64
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Modrqflt.dll7.0.6001.2233146,59216-Dec-200804:55x64
Admwprox.dll7.0.6001.2233154,78416-Dec-200804:51x64
Ahadmin.dll7.0.6001.2233161,44016-Dec-200804:51x64
Appcmd.exe7.0.6001.22331191,48816-Dec-200803:17x64
Appcmd.xmlNe s'applique pas3,65418-Dec-200721:00Ne s'applique pas
Applicationhost.configNe s'applique pas7,98918-Dec-200721:00Ne s'applique pas
Appobj.dll7.0.6001.22331379,39216-Dec-200804:51x64
Aspnetca.exe7.0.6001.22331218,62416-Dec-200803:17x64
Aspnet_schema.xmlNe s'applique pas38,78618-Dec-200721:01Ne s'applique pas
Fx_schema.xmlNe s'applique pas26,97118-Dec-200721:01Ne s'applique pas
Iismig.dll7.0.6001.22331242,68816-Dec-200804:58x64
Iisreg.dll7.0.6001.22331111,61616-Dec-200804:53x64
Iisres.dll7.0.6001.22331193,02416-Dec-200803:17x64
Iisreset.exe7.0.6001.2233116,89616-Dec-200803:16x64
Iisrstap.dll7.0.6001.2233111,26416-Dec-200804:53x64
Iisrstas.exe7.0.6001.2233134,81616-Dec-200803:16x64
Iisrtl.dll7.0.6001.22331192,51216-Dec-200804:53x64
Iissetup.exe7.0.6001.22331280,06416-Dec-200803:17x64
Iissyspr.dll7.0.6001.2233166,56016-Dec-200804:53x64
Iisutil.dll7.0.6001.22331275,45616-Dec-200804:53x64
Iis_schema.xmlNe s'applique pas77,83015-Dec-200823:22Ne s'applique pas
Nativerd.dll7.0.6001.22331416,76816-Dec-200804:56x64
Redirection.configNe s'applique pas49018-Dec-200721:01Ne s'applique pas
Rsca.dll7.0.6001.2233131,23216-Dec-200804:58x64
Rscaext.dll6.0.6001.2233144,03216-Dec-200804:58x64
Rscaext.xmlNe s'applique pas8,36318-Dec-200721:01Ne s'applique pas
W3ctrlps.dll7.0.6001.2233113,82416-Dec-200804:59x64
Wamregps.dll7.0.6001.2233115,87216-Dec-200804:59x64
Modrqflt.dll7.0.6001.2233137,88816-Dec-200804:29x86
Admwprox.dll7.0.6001.2233151,71216-Dec-200804:26x86
Ahadmin.dll7.0.6001.2233127,13616-Dec-200804:26x86
Appcmd.exe7.0.6001.22331154,11216-Dec-200802:42x86
Appcmd.xmlNe s'applique pas3,65418-Dec-200721:00Ne s'applique pas
Appobj.dll7.0.6001.22331311,80816-Dec-200804:26x86
Aspnetca.exe7.0.6001.22331182,78416-Dec-200802:42x86
Iismig.dll7.0.6001.22331209,40816-Dec-200804:32x86
Iisreg.dll7.0.6001.2233189,08816-Dec-200804:27x86
Iisres.dll7.0.6001.22331193,02416-Dec-200802:42x86
Iisreset.exe7.0.6001.2233114,84816-Dec-200802:42x86
Iisrstap.dll7.0.6001.223318 19216-Dec-200804:27x86
Iisrtl.dll7.0.6001.22331153,60016-Dec-200804:27x86
Iissetup.exe7.0.6001.22331228,86416-Dec-200802:43x86
Iissyspr.dll7.0.6001.2233159,39216-Dec-200804:27x86
Iisutil.dll7.0.6001.22331202,75216-Dec-200804:27x86
Nativerd.dll7.0.6001.22331331,26416-Dec-200804:30x86
Rsca.dll7.0.6001.2233126,62416-Dec-200804:31x86
Rscaext.dll6.0.6001.2233138,91216-Dec-200804:31x86
W3ctrlps.dll7.0.6001.223319,21616-Dec-200804:32x86
Wamregps.dll7.0.6001.2233110,75216-Dec-200804:32x86
IIS 7.0, ia64
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Modrqflt.dll7.0.6001.2233196,25616-Dec-200804:36IA-64
Admwprox.dll7.0.6001.22331119,80816-Dec-200804:31IA-64
Ahadmin.dll7.0.6001.2233182,43216-Dec-200804:31IA-64
Appcmd.exe7.0.6001.22331404,99216-Dec-200803:03IA-64
Appcmd.xmlNe s'applique pas3,65418-Dec-200721:00Ne s'applique pas
Applicationhost.configNe s'applique pas7,98918-Dec-200721:00Ne s'applique pas
Appobj.dll7.0.6001.22331727,55216-Dec-200804:31IA-64
Aspnetca.exe7.0.6001.22331432,12816-Dec-200803:04IA-64
Aspnet_schema.xmlNe s'applique pas38,78618-Dec-200721:01Ne s'applique pas
Fx_schema.xmlNe s'applique pas26,97118-Dec-200721:01Ne s'applique pas
Iismig.dll7.0.6001.22331452,09616-Dec-200804:39IA-64
Iisreg.dll7.0.6001.22331143,87216-Dec-200804:34IA-64
Iisres.dll7.0.6001.22331193,02416-Dec-200803:03IA-64
Iisreset.exe7.0.6001.2233134,81616-Dec-200803:03IA-64
Iisrstap.dll7.0.6001.2233118 94416-Dec-200804:34IA-64
Iisrstas.exe7.0.6001.2233178,33616-Dec-200803:03IA-64
Iisrtl.dll7.0.6001.22331393,21616-Dec-200804:34IA-64
Iissetup.exe7.0.6001.22331543,23216-Dec-200803:04IA-64
Iissyspr.dll7.0.6001.22331134,65616-Dec-200804:34IA-64
Iisutil.dll7.0.6001.22331513,02416-Dec-200804:35IA-64
Iis_schema.xmlNe s'applique pas77,83015-Dec-200823:21Ne s'applique pas
Nativerd.dll7.0.6001.22331899,58416-Dec-200804:37IA-64
Redirection.configNe s'applique pas49018-Dec-200721:01Ne s'applique pas
Rsca.dll7.0.6001.2233174,24016-Dec-200804:39IA-64
Rscaext.dll6.0.6001.22331111,61616-Dec-200804:39IA-64
Rscaext.xmlNe s'applique pas8,36318-Dec-200721:01Ne s'applique pas
W3ctrlps.dll7.0.6001.2233122 52816-Dec-200804:40IA-64
Wamregps.dll7.0.6001.2233128,16016-Dec-200804:40IA-64
Modrqflt.dll7.0.6001.2233137,88816-Dec-200804:29x86
Admwprox.dll7.0.6001.2233151,71216-Dec-200804:26x86
Ahadmin.dll7.0.6001.2233127,13616-Dec-200804:26x86
Appcmd.exe7.0.6001.22331154,11216-Dec-200802:42x86
Appcmd.xmlNe s'applique pas3,65418-Dec-200721:00Ne s'applique pas
Appobj.dll7.0.6001.22331311,80816-Dec-200804:26x86
Aspnetca.exe7.0.6001.22331182,78416-Dec-200802:42x86
Iismig.dll7.0.6001.22331209,40816-Dec-200804:32x86
Iisreg.dll7.0.6001.2233189,08816-Dec-200804:27x86
Iisres.dll7.0.6001.22331193,02416-Dec-200802:42x86
Iisreset.exe7.0.6001.2233114,84816-Dec-200802:42x86
Iisrstap.dll7.0.6001.223318 19216-Dec-200804:27x86
Iisrtl.dll7.0.6001.22331153,60016-Dec-200804:27x86
Iissetup.exe7.0.6001.22331228,86416-Dec-200802:43x86
Iissyspr.dll7.0.6001.2233159,39216-Dec-200804:27x86
Iisutil.dll7.0.6001.22331202,75216-Dec-200804:27x86
Nativerd.dll7.0.6001.22331331,26416-Dec-200804:30x86
Rsca.dll7.0.6001.2233126,62416-Dec-200804:31x86
Rscaext.dll6.0.6001.2233138,91216-Dec-200804:31x86
W3ctrlps.dll7.0.6001.223319,21616-Dec-200804:32x86
Wamregps.dll7.0.6001.2233110,75216-Dec-200804:32x86

État

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».

Références

Ce correctif introduit la fonctionnalité a été introduite dans le correctif décrit dans l’article 957508 de la Base de connaissances Microsoft. L’installation du correctif, que cet article décrit Active la fonctionnalité de l’article 957508 décrit. Pour plus d’informations, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

957508 une mise à jour est disponible qui propose des fonctionnalités améliorées pour le module de filtrage des demandes dans IIS 7.0

Pour plus d'informations sur la terminologie de mise à jour logicielle, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
Description 824684 terminologie standard utilisée pour décrire les mises à jour logicielles de Microsoft
Pour plus d’informations sur l’utilisation de ces fonctionnalités améliorées, visitez le site Web de Microsoft à l’adresse suivante :

Pour plus d’informations sur la façon d’utiliser le filtrage des requêtes, visitez le site Web de Microsoft à l’adresse suivante :
Propriétés

ID d'article : 960728 - Dernière mise à jour : 14 janv. 2017 - Révision : 1

Commentaires