IIS : une faille de sécurité touche le serveur Web de Microsoft

Alexandre Laurent
Publié le 19 mai 2009 à 12h47
01957538-photo-le-logo-de-microsoft.jpg
Microsoft a confirmé lundi l'existence d'une faille de sécurité majeure touchant son logiciel de serveur Web, IIS ou internet-information-services, dans les versions 5.0, 5.1 et 6.0. Ce bulletin de sécurité fait suite à la publication, le 15 mai dernier, des modalités d'exploitation de cette faille, par un chercheur en sécurité de Secunia. IIS 7 n'est quant à lui pas affecté.

« Une vulnérabilité pouvant conduire à une élévation de privilèges réside dans la façon dont l'extension WebDAV pour IIS gère les requêtes HTTP », indique l'éditeur. En mettant au point une URL piégée, un attaquant serait ainsi en mesure d'obtenir l'accès à un espace requérant l'authentification de l'utilisateur et d'y écrire. WebDAV, ou Web-based Distributed Authoring and Versioning est pour mémoire une extension du protocole HTTP qui permet l'édition, par plusieurs personnes distinctes, de documents stockés sur le serveur distant.

En attendant la publication d'une mise à jour, Microsoft indique que le fait de désactiver WebDAV résoudra temporairement le problème, et suggère que les ACLs ou listes de contrôle d'accès soient paramétrées pour interdire l'écriture aux utilisateurs anonymes.
Alexandre Laurent
Par Alexandre Laurent

Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech, que ça concerne le grand public, l'entreprise, l'informatique ou Internet. Milite pour la réhabilitation de Après que + indicatif à l'écrit comme à l'oral, grand amateur de loutres devant l'éternel, littéraire pour cause de vocation scientifique contrariée, fan de RTS qui le lui rendent bien mal.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles