ou INSCRIVEZ-VOUS Mot de passe oublié ?
Publicité

Microsoft publie un bulletin d'alerte sur la faille zero day IIS

Mauvais bulletin ce trimestre...

Microsoft a publié un bulletin d’alerte spécifique pour cette faille touchant le module FTP des serveurs IIS. L’éditeur confirme que la vulnérabilité existe et est exploitable : elle autorise l’exécution de code à distance quand le service FTP est actif. Selon Redmond, toutefois, il n’y a à ce jour aucune exploitation effective ou d’impact sur le consommateur.

ftp anonyme

Mais jusqu’à quand ? Microsoft le regrette, il n’a pas été alerté de cette vulnérabilité avant sa diffusion sur le web. Au lieu de cela, le hacker a préféré fournir sur son site, un code prêt à servir... Sont affectés par cette faille
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Internet Information Services 5.0
  • Windows XP Service Pack 2 and Windows XP Service Pack 3
  • Microsoft Internet Information Services 5.1
  • Windows XP Service x64 Edition Service Pack 2
  • Microsoft Internet Information Services 6.0
  • Windows Server 2003 Service Pack 2
  • Microsoft Internet Information Services 6.0
  • Windows Server 2003 x64 Edition Service Pack 2
  • Microsoft Internet Information Services 6.0
  • Windows Server 2003 with SP2 for Itanium-based Systems
  • Microsoft Internet Information Services 6.0
Selon les derniers détails donnés par Microsoft, la faille est exploitable lors de la création de répertoire par un utilisateur FTP ou lors de l’arrivée d’un utilisateur anonyme. Pour le premier cas, il suffit alors pour l’administrateur de modifier les droits pour interdire cette possibilité. Les utilisateurs FTP pourront toujours uploader du contenu, mais seulement dans les dossiers préexistants. Pour le second cas, on interdira les accès anonymes. On pourra avoir plus de détails dans la section Workarounds du bulletin d’alerte.
le 2 septembre 2009 à 10:35 (10 536 lectures)