CORRECTIF : L’adresse IP interne d’un serveur est révélée si une requête HTTP qui n’est pas un en-tête d’hôte ou le possède un en-tête d’hôte NULL est envoyée au serveur de IIS 7.0


Symptômes


Considérez le scénario suivant :

  • Une demande HTTP qui n’a pas un en-tête d’hôte, ou qui possède un en-tête d’hôte NULL est envoyée à un serveur Internet Information Services (IIS) 7.0.
  • Un filtre ISAPI est configuré dans IIS 7. Le filtre ISAPI appelle la fonction GetServerVariables (nom_serveur) pendant une notification SF_NOTIFY_PREPROC_HEADERS .
Dans ce scénario, l’adresse IP interne du serveur est retournée au client dans une réponse HTTP.


Remarques
  • Dans certains cas, les serveur IIS 7.0 peut être signalée comme « non sécurisé » par la sécurité, outils d’analyse si une adresse IP interne du serveur s’affiche.
  • Notifications de SF_NOTIFY_PREPROC_HEADERS se produisent pour chaque demande. Ces notifications indiquent que le serveur a terminé le prétraitement des en-têtes associés à la demande, mais n’a pas commencé à traiter les informations dans les en-têtes.
  • Les navigateurs Web utilisant HTTP/1.1 doivent inclure un en-tête d’hôte lorsque le navigateur envoie une requête HTTP. Par conséquent, ce scénario se produit souvent lors de la demande HTTP n’est pas envoyée par un navigateur Web ou lorsqu’il est envoyé par un navigateur Web utilisant HTTP/1.0.

Cause


Le problème se produit car SF_NOTIFY_PREPROC_HEADERS est appelée avant IIS lit la propriété alternateHostName dans les données de configuration. Par conséquent, IIS ne peut retourner que l’adresse IP du serveur.



Si la demande contient une valeur de l’hôte, et l’appel GetServerVariables (nom_serveur) est faite dans SF_NOTIFY_PREPROC_HEADERS, nom_serveur contient la valeur de l’en-tête de l’hôte du client.

Résolution


Informations sur le correctif

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes qui rencontrent le problème décrit dans cet article. Ce correctif va peut-être subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contiendra ce correctif.

Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone du Service clientèle et support technique de Microsoft ou pour créer une demande de service distincte, visitez le site Web de Microsoft à l'adresse suivante :Remarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.

D'importants correctifs de Windows Vista et Windows Server 2008 sont inclus dans les mêmes packages. Toutefois, un seul de ces produits peut être répertorié dans la page demande de correctif « ». Pour demander le package de correctif qui s’applique à Windows Vista et Windows Server 2008, sélectionnez simplement le produit figurant sur la page.

Conditions préalables

Vous devez disposer de Windows Vista Service Pack 1 ou Windows Server 2008 installé pour appliquer ce correctif.

Nécessite un redémarrage

Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif ne remplace aucun autre correctif.

Informations sur les fichiers

La version anglaise de ce correctif dispose des attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, elles sont converties en heure locale. Pour trouver la différence entre l’UTC et l’heure locale, utilisez l’onglet fuseau horaire dans l’élément de Date et heure dans le panneau de configuration.
IIS 7.0, x86
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Hwebcore.dll7.0.6001.2236912,80005-Feb-200905:41x86
Iiscore.dll7.0.6001.22369190,46405-Feb-200905:41x86
W3dt.dll7.0.6001.2236923,55205-Feb-200905:41x86
IIS 7.0, x64
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Hwebcore.dll7.0.6001.2236915,36005-Feb-200906:14x64
Iiscore.dll7.0.6001.22369288,76805-Feb-200906:14x64
W3dt.dll7.0.6001.2236930,72005-Feb-200906:15x64
IIS 7.0, IA64
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Hwebcore.dll7.0.6001.2236937,37605-Feb-200904:42IA-64
Iiscore.dll7.0.6001.22369543,23205-Feb-200904:42IA-64
W3dt.dll7.0.6001.2236951,71205-Feb-200904:42IA-64

État


Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».

Plus d'informations


Pour plus d’informations sur l’ordre des événements de filtre ISAPI, visitez le site Web de Microsoft à l’adresse suivante :Pour plus d’informations sur le traitement des demandes dans IIS 7, visitez le site Web de Microsoft à l’adresse suivante :

Remarque : Étant donné que la propriété alternateHostName est utilisée pour arrêter l’adresse IP interne du serveur soient exposées, vous devez également définir une valeur pour alternateHostName lorsque vous installez ce correctif logiciel. Pour définir la valeur de alternateHostName , exécutez la commande suivante :
appcmd.exe set config -section:system.webServer/serverRuntime /alternateHostName:"<Server Name>"  /commit:apphost
Pour plus d’informations sur IIS 7.0 serverRuntime élément, visitez le site Web de Microsoft à l’adresse suivante :

Références


Pour plus d'informations sur la terminologie de mise à jour logicielle, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
Description 824684 terminologie standard utilisée pour décrire les mises à jour logicielles de Microsoft