Microsoft confirme une faille dans le service FTP de IIS

Le par  |  0 commentaire(s)
Microsoft_Securite

Suite à la publication d'un code exploit, Microsoft émet un avis de sécurité au sujet d'une vulnérabilité dans le service FTP de IIS qui peut conduire à une exécution de code à distance.

Microsoft_SecuriteLa vulnérabilité ( voir notre actualité ) est désormais confirmée par Microsoft qui malgré une divulgation publique, précise ne pas être pour le moment au courant d'attaques. La firme de Redmond en profite pour pointer du doigt cette pratique de full disclosure, regrettant de ne pas avoir été averti à titre privé de ladite vulnérabilité.

" Nous pensons que rapporter les vulnérabilités directement au vendeur est une pratique qui sert au mieux les intérêts de chacun ", indique Microsoft dans un avis de sécurité. Dans cet avis, il est précisé que la vulnérabilité affecte le service FTP dans Microsoft Internet Information Services 5.0, 5.1 et 6.0. Elle permet l'exécution de code à distance sur des systèmes vulnérables connectés à l'Internet où le service FTP est activé.

Dans le détail, les systèmes vulnérables sont Windows 2000 avec IIS 5.0, Windows XP avec IIS 5.1 et Windows Server 2003 avec IIS 6.0. A contrario, Windows Vista et Windows Server 2008 avec IIS 7.0 ne sont pas affectés, au même titre que Windows 7 et Windows Server 2008 R2 avec IIS 7.5.

En attendant la diffusion d'une mise à jour de sécurité, Microsoft recommande parmi ses mesures de contournement aux utilisateurs concernés, de ne pas autoriser l'accès FTP en écriture aux utilisateurs anonymes qui le cas échéant peuvent créer des répertoires particuliers, ou tout simplement de désactiver le service FTP.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]