Le service FTP permet à un utilisateur de se connecter à un compte invité de domaine

Ancien nº de publication de cet article : F288855
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Symptômes
Dans Microsoft Internet Information Services (IIS) 5.0 et Microsoft Internet Information Services (IIS) 4.0, si un utilisateur veut se connecter à un serveur FTP à l'aide d'un compte d'utilisateur de domaine, au lieu d'un compte local, ce dernier doit entrer le nom de domaine avant le nom de son compte. Toutefois, si le nom de son compte est précédé d'un ensemble de caractères particuliers, un défaut oblige le service FTP à rechercher le domaine et tous les domaines approuvés pour le compte d'utilisateur. Si l'utilisateur entre le mot de passe correct du compte, il sera connecté sous ce mot de passe.

Facteurs d'atténuation :
  • Cette vulnérabilité ne peut être exploitée que si le serveur FTP est un membre du domaine. Toutefois, elle n'est pas appropriée aux serveurs FTP connectés sur Internet.
  • Cette vulnérabilité ne peut être exploitée que si le compte invité sur l'ordinateur local a été désactivé et si le compte invité est activé sur un domaine approuvé. Par défaut, le compte invité est désactivé dans Windows NT Server 4.0 et Windows 2000.
Cause
Si un ID utilisateur est spécifié d'une façon particulière lorsqu'un utilisateur se connecte sur un serveur FTP affecté, le système recherche automatiquement tous les domaines approuvés correspondant à l'ID utilisateur. Si l'ID utilisateur est trouvé et que le mot de passe correct est fourni, le système autorise l'utilisateur à se connecter avec ce mot de passe normalement.
Résolution
Pour plus d'informations sur les corrections apportées par ces correctifs, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
297860 Correctif intégrant les correctifs de sécurité pour IIS 4.0 et IIS 5.0 depuis Windows NT 4.0 SP5

Internet Information Services 5.0

Un correctif permettant de résoudre ce problème est désormais disponible auprès de Microsoft mais il ne peut que résoudre le problème décrit dans cet article et doit donc être appliqué uniquement aux systèmes qui courent un risque. Évaluez l'accessibilité physique de votre ordinateur, la connectivité réseau et Internet et les autres facteurs pour déterminer le degré de risque encouru par votre ordinateur. Pour cela, reportez-vous au Bulletin de sécurité Microsoft. Ce correctif peut subir de nouveaux tests ultérieurement, afin que la qualité du produit soit assurée. Si votre ordinateur court un risque, Microsoft vous recommande d'appliquer ce correctif à présent. Sinon, attendez le prochain Service Pack de Windows 2000 contenant ce correctif.

Pour résoudre ce problème immédiatement, téléchargez le correctif en suivant les instructions ci-après ou contactez les services du Support technique Microsoft. Vous trouverez toutes les informations relatives aux numéros de téléphone et coûts d'assistance à l'adresse suivante :

REMARQUE : Dans certains cas, aucun frais de support technique par téléphone ne vous sera facturé si un technicien du Support technique Microsoft détermine qu'une mise à jour spécifique résoudra votre problème. Les frais de support technique concernent les questions et problèmes supplémentaires qui n'entrent pas dans le cadre de la mise à jour en question.

Vous pouvez télécharger le fichier suivant à partir du Centre de téléchargement Microsoft.
Pour plus d'informations sur le téléchargement des fichiers à partir du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
119591 Procédures pour obtenir des fichiers de Support technique Microsoft auprès des services en ligne
Microsoft a utilisé le logiciel de détection de virus le plus courant disponible dès sa publication pour analyser ce fichier contre les virus. Une fois publié, le fichier est hébergé sur des serveurs sécurisés qui empêchent toute modification non autorisée sur ce fichier.

La version anglaise de ce correctif doit disposer des attributs de fichier suivants ou de ceux d'une version ultérieure :
   Date        Heure  Version        Taille   Nom de fichier   ---------------------------------------------------------   04/05/2001  11:48  5.0.2195.3554  245,520  Adsiis.dll   04/05/2001  11:48  5.0.2195.3554  332,560  Asp.dll   26/08/2000  18:30                   6,512  Fixerr.js   10/11/2000  23:21  4.0.2.4701     593,976  Fp4autl.dll   27/03/2001  22:10  0.9.3940.21    445,712  Httpext.dll   04/05/2001  11:48  5.0.2195.3554   56,592  Httpodbc.dll   04/05/2001  11:48  5.0.2195.3554  122,640  Iisrtl.dll   04/05/2001  11:48  5.0.2195.3554   13,584  Infoadmn.dll   04/05/2001  11:48  5.0.2195.3554  245,520  Infocomm.dll   04/05/2001  11:48  5.0.2195.3554   62,736  Isatq.dll   04/05/2001  11:48  5.0.2195.3554   46,352  Ism.dll   04/05/2001  11:48  5.0.2195.3555   76,560  Msw3prt.dll   17/10/2000  13:38  5.0.2195.2507    6,928  Schmupd.exe   04/05/2001  11:48  5.0.2195.3554   41,232  Ssinc.dll   04/05/2001  11:48  5.0.2195.3554    7,440  W3ctrs.dll   04/05/2001  11:48  5.0.2195.3554  357,648  W3svc.dll
REMARQUE : Ce correctif peut être installé sur les systèmes fonctionnant sous Windows 2000 Gold, Windows 2000 Service Pack 1 ou Windows 2000 Service Pack 2.

Internet Information Server 4.0

Un correctif permettant de résoudre ce problème est désormais disponible auprès de Microsoft, mais il ne peut que résoudre le problème décrit dans cet article et doit donc être appliqué uniquement aux systèmes qui courent un risque. Évaluez l'accessibilité physique de votre ordinateur, la connectivité réseau et Internet et les autres facteurs pour déterminer le degré de risque encouru par votre ordinateur. Pour cela, reportez-vous au Bulletin de sécurité Microsoft. Ce correctif peut subir de nouveaux tests ultérieurement, afin que la qualité du produit soit assurée. Si votre ordinateur court un risque, Microsoft vous recommande d'appliquer ce correctif à présent. Sinon, attendez le prochain Service Pack de Windows 2000 contenant ce correctif.

Pour résoudre ce problème immédiatement, téléchargez le correctif en suivant les instructions ci-après ou contactez les Services de Support technique Microsoft. Vous trouverez toutes les informations relatives aux numéros de téléphone et coûts d'assistance à l'adresse suivante :

REMARQUE : Dans certains cas, aucun frais de support technique par téléphone ne vous sera facturé si un technicien du Support technique Microsoft détermine qu'une mise à niveau spécifique résoudra votre problème. Les frais de support technique concernent les questions et problèmes supplémentaires qui n'entrent pas dans le cadre de la mise à niveau en question.

Vous pouvez télécharger le fichier suivant à partir du Centre de téléchargement Microsoft.
REMARQUE : Q295534is.exe contient les fichiers de symboles.

Pour plus d'informations sur le téléchargement des fichiers à partir du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
119591 Procédures pour obtenir des fichiers de Support technique Microsoft auprès des services en ligne
Microsoft a utilisé le logiciel de détection de virus le plus courant disponible dès sa publication pour analyser ce fichier contre les virus. Une fois publié, le fichier est hébergé sur des serveurs sécurisés qui empêchent toute modification non autorisée sur ce fichier.

La version anglaise de ce correctif doit disposer des attributs de fichier suivants ou de ceux d'une version ultérieure :
   Date      Heure    Version        Taille   Nom de fichier   ---------------------------------------------------------   11/04/2001  13:32  4.2.764.1      214,544  Adsiis.dll   11/04/2001  13:33  4.2.764.1      330,672  Asp.dll   02/04/2001  16:55  4.0.2.4701     593,976  Fp4autl.dll   11/04/2001  13:32  4.2.764.1       81,888  Ftpsvc2.dll   11/04/2001  13:32  4.2.764.1       55,392  Httpodbc.dll   11/04/2001  13:32  4.2.764.1       98,912  Iischema.dll   11/04/2001  13:31  4.2.764.1       63,472  Iislog.dll   11/04/2001  13:31  4.2.764.1      185,792  Infocomm.dll   11/04/2001  13:31  4.2.764.1       29,520  Iscomlog.dll   11/04/2001  13:35  4.2.764.1       54,560  Ism.dll   02/04/2001  16:55  4.0.1381.7086  375,056  Kernel32.dll   11/04/2001  13:36  4.2.764.1        9,680  Schmupd.exe   11/04/2001  13:32  4.2.764.1       38,256  Ssinc.dll   11/04/2001  13:32  4.2.764.1       25,360  Sspifilt.dll   11/04/2001  13:32  4.2.764.1      229,024  W3svc.dll   11/04/2001  13:31  4.2.764.1       88,032  Wam.dll
REMARQUE : Ce correctif peut être installé sur les systèmes fonctionnant sous Windows NT 4.0 Service Pack 5 ou Windows NT 4.0 Service Pack 6a.

Statut
Microsoft a confirmé l'existence de ce problème dans Internet Information Services 5.0 et Internet Information Server 4.0.
Plus d'informations
Pour plus d'informations sur ce problème de sécurité, visitez le site Microsoft à l'adresse suivante : Pour plus d'informations sur la procédure à suivre pour installer en même temps Windows 2000 et les correctifs pour Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
249149 Installation de Microsoft Windows 2000 et des correctifs pour Windows 2000
security_patch
Propriétés

ID d'article : 288855 - Dernière mise à jour : 02/06/2014 05:33:34 - Révision : 2.1

  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
  • kbnosurvey kbarchive kbbug kbfix kbwin2000presp3fix kbwin2000sp3fix kbwinnt400presp7fix KB288855
Commentaires