IIS : Ouverture de shtml.exe à la lecture d'un fichier word/excel

Le
ervin
Bonjour,

Je viens de mettre en place urlscan 3.1 sur mon serveur windows 2003 (environnement full microsoft IIS + langage asp). Objectif : sécuriser davantage mon site internet en controlant les requetes et interdisant certaines methodes et certains fichiers. Typiquement, j'interdis par précaution l'ouverture des fichiers executables (extension .exe) car à priori aucune application exe n'est liée avec mon site.

Or, je m'apercois dans les logs d'urlscan que lorsque j'appelle un fichier word (extension .doc) hébergé sur mon serveur, le serveur IIS appelle un executable.
En détail : j'ai un document word que je propose sur mon site, avec un lien http sur ce document, si on clique dessus, IIS lance /_vti_bin/shtml.exe/_vti_rpc.

- A savoir que je n'utilise pas frontpage (car shtml.exe de ce que j'ai lu est utile pour frontpage)
- J'ai fait le test avec un fichier excel, meme appel au fichier shtml.exe que pour un .doc
- J'ai fait le test avec un pdf, qui s'ouvre sans probleme, sans passage via un exe.
- J'ai fait le test avec un powerpoint, pas d'appel à un quelconque fichier exe


Y a t'il une raison ? quelqu'un a t'il déjà eut ce probleme ?
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
jbongran
Le #17754121
"ervin" news:
Bonjour,

Je viens de mettre en place urlscan 3.1 sur mon serveur windows 2003
(environnement full microsoft IIS + langage asp). Objectif : sécuriser
davantage mon site internet en controlant les requetes et interdisant
certaines
methodes et certains fichiers. Typiquement, j'interdis par précaution
l'ouverture des fichiers executables (extension .exe) car à priori aucune
application exe n'est liée avec mon site.

Or, je m'apercois dans les logs d'urlscan que lorsque j'appelle un fichier
word
(extension .doc) hébergé sur mon serveur, le serveur IIS appelle un
executable.
En détail : j'ai un document word que je propose sur mon site, avec un
lien
http sur ce document, si on clique dessus, IIS lance
/_vti_bin/shtml.exe/_vti_rpc.

- A savoir que je n'utilise pas frontpage (car shtml.exe de ce que j'ai lu
est
utile pour frontpage)
- J'ai fait le test avec un fichier excel, meme appel au fichier shtml.exe
que
pour un .doc
- J'ai fait le test avec un pdf, qui s'ouvre sans probleme, sans passage
via un
exe.
- J'ai fait le test avec un powerpoint, pas d'appel à un quelconque
fichier
exe


Y a t'il une raison ? quelqu'un a t'il déjà eut ce probleme ?




Vous n'utilisez pas frontpage mais avez certainement installé les extensions
frontpage côté serveur.
Si vous êtes CERTAIN qu'aucune partie de vôtre site n'a été historiquement
développé avec frontpage, vous pouvez supprimer les extensions dans la
console de gestion de IIS.

Le plus sage serait quand même de crer un nouveau site web, de vérifier ques
les extensions frontpage ne sont pas activées, d'y mettre un fichier word ou
excel et de le télécharger.
Voir les log urlscan, si aucune trace du shtml.exe, il s'agit bien des
extensions frontpage, sinon, n'hésitez pas à nous faire un retour.
jbongran
Le #17754581
"ervin" news:
Bonjour,

Je viens de mettre en place urlscan 3.1 sur mon serveur windows 2003
(environnement full microsoft IIS + langage asp). Objectif : sécuriser
davantage mon site internet en controlant les requetes et interdisant
certaines
methodes et certains fichiers. Typiquement, j'interdis par précaution
l'ouverture des fichiers executables (extension .exe) car à priori aucune
application exe n'est liée avec mon site.

Or, je m'apercois dans les logs d'urlscan que lorsque j'appelle un fichier
word
(extension .doc) hébergé sur mon serveur, le serveur IIS appelle un
executable.
En détail : j'ai un document word que je propose sur mon site, avec un
lien
http sur ce document, si on clique dessus, IIS lance
/_vti_bin/shtml.exe/_vti_rpc.

- A savoir que je n'utilise pas frontpage (car shtml.exe de ce que j'ai lu
est
utile pour frontpage)
- J'ai fait le test avec un fichier excel, meme appel au fichier shtml.exe
que
pour un .doc
- J'ai fait le test avec un pdf, qui s'ouvre sans probleme, sans passage
via un
exe.
- J'ai fait le test avec un powerpoint, pas d'appel à un quelconque
fichier
exe


Y a t'il une raison ? quelqu'un a t'il déjà eut ce probleme ?





Au ca oû, pourriez-vous mettre ici la ligne de log en cause (anonymisée si
vous voulez)
Pouvez-vous essayer avec un autre éditeur que word d'ouvrir ce fichier.
Il est possible que ce que vous voyez soit une reqête webdav de word...
Publicité
Poster une réponse
Anonyme