PRB : Security implications de RDS 1.5, IIS 3.0 ou 4.0 et ODBC

IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.

La version anglaise de cet article est la suivante: 184375
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Nous vous recommandons de tous les utilisateurs d'effectuer la mise à niveau à Microsoft Internet Information Services (IIS) version 6.0 sur Microsoft Windows Server 2003. IIS 6.0 augmente considérablement la sécurité de l'infrastructure Web. Pour plus d'informations sur les questions liées à la sécurité IIS, reportez-vous au site Web de Microsoft à l'adresse suivante :
IMPORTANT : Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, assurez-vous que vous savez le restaurer en cas de problème. Pour savoir comment procéder, consultez la rubrique d'aide «Restaurer le Registre» dans Regedit.exe ou "Restaurer une clé de Registre" dans Regedt32.exe.
Symptômes
Car le RDS DataFactory (un seul composant de RDS) permet d'implicite accès distant de l'accès aux données demande par défaut, il peut être exploitée pour autoriser les clients de Internet non autorisés à accéder aux sources de données OLE DB disponibles pour le serveur.

Un utilisateur malveillant peut être en mesure d'accéder aux données ODBC, telles que les données contenues dans Microsoft SQL Server ou Microsoft Access, lors de la connexion à Internet Information Server (IIS) 4.0 avec Microsoft Remote Data Services est installé.
Résolution

Méthode One : Suppression fonctionnalité RDS

Avertissement: À l'aide de l'Éditeur du Registre incorrectement peut générer des problèmes sérieux pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant de l'utilisation incorrecte de l'Éditeur du Registre puissent être résolus. Utilisez l'Éditeur du Registre à vos risques et périls.

Pour savoir comment modifier le Registre, consultez la rubrique d'aide "Modification des clés et des valeurs" dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'aide «Ajouter et supprimer des informations dans le Registre» et «Modifier les données du Registre» dans Regedt32.exe. Notez que vous devez sauvegarder le Registre avant de le modifier.

Pour interdire toutes les fonctionnalités RDS, vous devez supprimer les entrées de Registre suivantes à partir du serveur hébergeant IIS.


  1. Exécutez l'Éditeur du Registre (Regedt32.exe).
  2. Supprimer les clés de Registre suivantes et toutes les sous-clés :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\RDSServer.DataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\AdvancedDataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services W3SVC\Parameters\ADCLaunch\VbBusObj.VbBusObjCls

Remarque : Chaque des clés de Registre précédente est un chemin d'accès ; il a été mot raccourci pour des raisons de lisibilité.

Active Server Pages (ASP) qui dépendent seulement ADO (ActiveX Data Objects) pour la connectivité aux bases de données continue de s'exécuter.

La partie avantages de l'exemple de site IIS 4.0, exploration air, peuvent ne pas fonctionner correctement si cette modification est effectuée. Aucun autre standard fonctionnalités dans IIS 4.0 requièrent RDS.


Méthode 2: Appliquer la stratégie de sécurité appropriée

Voici quelques recommandations qui doivent être suivies de tous les développeurs Web qui sont de publication des données dans des pages ASP :

  • Supprimer tous les pilotes ODBC non essentiels, notamment Microsoft Text Driver.
  • Serrez les autorisations NTFS (ACL) pour restreindre l'accès aux seuls que vous faites confiance.
  • Si vous utilisez SQL Server, appliquer des mesures de sécurité, fortes, telles que :
  • Exécuter SQL Server en tant que compte d'utilisateur limités.
  • N'autorisez pas les procédures stockées étendues.
Plus d'informations

Description de RDS DataFactory


RDS (Remote Data Services) fait partie de Data Access Components est installé par défaut avec Windows NT 4.0 Option Pack et IIS 4.0. Avec RDS, les clients Web peuvent émettre des requêtes SQL basées sur le client vers des sources de données OLE DB hébergés sur le serveur Web.

L'objet DataFactory vous permet de se connecter à une source de données spécifiée (comme SQL Server), en utilisant un nom d'utilisateur spécifié et un mot de passe et exécuter une requête sur ce serveur et retour puis le jeu de résultats retour au client.

La source de données, UserID, mot de passe et instruction SQL sont passés en tant que paramètres à la méthode exposée sur l'objet DataFactory. Si les clés de Registre susmentionnées sont supprimés toutefois, l'utilisateur sera impossible de créer l'objet, par conséquent supprimer toute possibilité d'abus.
Visual studio 98 vulnérabilité kbDatabase kbRDS kbMDAC

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 184375 - Dernière mise à jour : 01/10/2015 11:22:08 - Révision : 3.2

Microsoft Internet Information Server 4.0, Microsoft Remote Data Services 1.1, Remote Data Service for ADO 2.0, Microsoft Data Access Components 2.5

  • kbnosurvey kbarchive kbmt kbprb KB184375 KbMtfr
Commentaires