FPSE : Vulnérabilité liée à un risque de surcharge de la mémoire tampon dans l'outil de déploiement à distance (RAD, Remote Application Deployment) de Visual Studio

Ancien nº de publication de cet article : F300477
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Résumé
Microsoft Internet Information Server 4.0 et Internet Information Services 5.0 (IIS) incluent les extensions serveur Microsoft FrontPage afin de faciliter le développement de sites et d'applications Web. Les extensions serveur FrontPage incluent un sous-composant facultatif pour les serveurs de développement appelé Visual Studio RAD (Remote Application Deployment). Si vous installez ce composant facultatif sur un ordinateur au cours de l'installation de Microsoft Windows 2000, le message suivant s'affiche :
Vous avez choisi d'installer le support de déploiement à distance Visual InterDev RAD. Ce support doit uniquement être installé sur des serveurs de développement, car RAD permet aux auteurs d'inscrire des composants serveur et de modifier les paramètres COM+, ce qui affecte l'état du serveur en cours d'exécution. Si vous installez le support de déploiement à distance RAD, vous devez régulièrement vérifier les paramètres des autorisations de vos sites Web FrontPage pour vous assurer qu'aucun utilisateur non souhaité n'a obtenu de privilèges de création.
Ce sous-composant permet aux utilisateurs de Visual InterDev d'inscrire et d'annuler l'inscription des composants de programmation sur le serveur IIS. Ce sous-composant contient une mémoire tampon non contrôlée dans une section qui traite des informations d'entrée.

Même si l'hypothèse est peu probable, un utilisateur malveillant pourrait exploiter cette vulnérabilité et attaquer un serveur sur lequel ce sous-composant est installé, en ouvrant une session Web sur le serveur et en transférant à dessein un paquet mal formé sur le système.
Plus d'informations
Une explication plus complète et un correctif pris en charge sont disponibles dans le bulletin de sécurité Microsoft MS01-035 :Pour plus d'informations sur des questions de sécurité, consultez le site Web de Microsoft TechNet suivant :
front page FP FPSE
Propriétés

ID d'article : 300477 - Dernière mise à jour : 02/24/2014 06:04:51 - Révision : 4.3

Microsoft FrontPage 2000 Server Extensions, Microsoft Internet Information Server 4.0, Microsoft Internet Information Services 5.0

  • kbnosurvey kbarchive kbqfe kbhotfixserver kbdta kbinfo KB300477
Commentaires