[INFO] Vulnerability in Internet Information Services Could Allow Elevation of Privilege
3 réponses
Lognoul Marc [MVP]
Bonjour à toutes et à tous,
MS a publié une annonce il y a deux jours concernant une vulnérabilité
probable dans le module WebDAV de IIS (IIS 7 et 7.5 ne sont pas affectés):
http://www.microsoft.com/technet/security/advisory/971492.mspx
Il est important de noter que cela concerne l'implémentation de WebDAV
livrée avec IIS et non celle livrée avec SharePoint.
Toutefois, j'ai souvent vu des administrateurs qui, de bonne foi, activaient
WebDAV au niveau de IIS pensant que c'était un prérequis pour SharePoint ->
Ce n'est absolument pas le cas.
Si vous mettez en place l'outil URLScan afin de mitiger ce problème et que
le serveur héberge SharePoint, veillez à bien tester la configuration et en
particulier à autoriser les verbes WebDAV sinon, plus d'explorer view ou
d'intégration avec Office!
Encore une fois, aucune crainte à avoir si vous tournez Server 2008 ou 2008
R2.
--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
EROL MVP MOSS
Bonjour,
Merci Marc Cdlt
EROL
"Lognoul Marc [MVP]" a écrit dans le message de groupe de discussion :
Bonjour à toutes et à tous,
MS a publié une annonce il y a deux jours concernant une vulnérabilité probable dans le module WebDAV de IIS (IIS 7 et 7.5 ne sont pas affectés): http://www.microsoft.com/technet/security/advisory/971492.mspx
Il est important de noter que cela concerne l'implémentation de WebDAV livrée avec IIS et non celle livrée avec SharePoint. Toutefois, j'ai souvent vu des administrateurs qui, de bonne foi, activaient WebDAV au niveau de IIS pensant que c'était un prérequis pour SharePoint -> Ce n'est absolument pas le cas.
Si vous mettez en place l'outil URLScan afin de mitiger ce problème et que le serveur héberge SharePoint, veillez à bien tester la configuration et en particulier à autoriser les verbes WebDAV sinon, plus d'explorer view ou d'intégration avec Office!
Encore une fois, aucune crainte à avoir si vous tournez Server 2008 ou 2008 R2.
-- Marc [MCSE, MCTS, MVP] [Heureux celui qui a pu pénétrer les causes secrètes des choses] [Blog: http://www.marc-antho-etc.net/blog/]
Bonjour,
Merci Marc
Cdlt
EROL
"Lognoul Marc [MVP]" <lognoulm@hotmail.com> a écrit dans le message de
groupe de discussion : ee7TP5S2JHA.4412@TK2MSFTNGP06.phx.gbl...
Bonjour à toutes et à tous,
MS a publié une annonce il y a deux jours concernant une vulnérabilité
probable dans le module WebDAV de IIS (IIS 7 et 7.5 ne sont pas affectés):
http://www.microsoft.com/technet/security/advisory/971492.mspx
Il est important de noter que cela concerne l'implémentation de WebDAV
livrée avec IIS et non celle livrée avec SharePoint.
Toutefois, j'ai souvent vu des administrateurs qui, de bonne foi,
activaient WebDAV au niveau de IIS pensant que c'était un prérequis pour
SharePoint -> Ce n'est absolument pas le cas.
Si vous mettez en place l'outil URLScan afin de mitiger ce problème et que
le serveur héberge SharePoint, veillez à bien tester la configuration et
en particulier à autoriser les verbes WebDAV sinon, plus d'explorer view
ou d'intégration avec Office!
Encore une fois, aucune crainte à avoir si vous tournez Server 2008 ou
2008 R2.
--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]
"Lognoul Marc [MVP]" a écrit dans le message de groupe de discussion :
Bonjour à toutes et à tous,
MS a publié une annonce il y a deux jours concernant une vulnérabilité probable dans le module WebDAV de IIS (IIS 7 et 7.5 ne sont pas affectés): http://www.microsoft.com/technet/security/advisory/971492.mspx
Il est important de noter que cela concerne l'implémentation de WebDAV livrée avec IIS et non celle livrée avec SharePoint. Toutefois, j'ai souvent vu des administrateurs qui, de bonne foi, activaient WebDAV au niveau de IIS pensant que c'était un prérequis pour SharePoint -> Ce n'est absolument pas le cas.
Si vous mettez en place l'outil URLScan afin de mitiger ce problème et que le serveur héberge SharePoint, veillez à bien tester la configuration et en particulier à autoriser les verbes WebDAV sinon, plus d'explorer view ou d'intégration avec Office!
Encore une fois, aucune crainte à avoir si vous tournez Server 2008 ou 2008 R2.
-- Marc [MCSE, MCTS, MVP] [Heureux celui qui a pu pénétrer les causes secrètes des choses] [Blog: http://www.marc-antho-etc.net/blog/]
jbongran
"Lognoul Marc [MVP]" a écrit dans le message de news:
Bonjour à toutes et à tous,
MS a publié une annonce il y a deux jours concernant une vulnérabilité probable dans le module WebDAV de IIS (IIS 7 et 7.5 ne sont pas affectés): http://www.microsoft.com/technet/security/advisory/971492.mspx
Il est important de noter que cela concerne l'implémentation de WebDAV livrée avec IIS et non celle livrée avec SharePoint. Toutefois, j'ai souvent vu des administrateurs qui, de bonne foi, activaient WebDAV au niveau de IIS pensant que c'était un prérequis pour SharePoint -> Ce n'est absolument pas le cas.
Si vous mettez en place l'outil URLScan afin de mitiger ce problème et que le serveur héberge SharePoint, veillez à bien tester la configuration et en particulier à autoriser les verbes WebDAV sinon, plus d'explorer view ou d'intégration avec Office!
Encore une fois, aucune crainte à avoir si vous tournez Server 2008 ou 2008 R2.
-- Marc [MCSE, MCTS, MVP] [Heureux celui qui a pu pénétrer les causes secrètes des choses] [Blog: http://www.marc-antho-etc.net/blog/]
Donner les droits en écriture a l'utilisateur iuser_, ou lui donner des droits en dehors des arborescences de sites web me parait déjà au delà de la limite. En tout cas, merci Marc de poster l'info ici, et de la précision concernant SharePoint.
"Lognoul Marc [MVP]" <lognoulm@hotmail.com> a écrit dans le message de
news:ee7TP5S2JHA.4412@TK2MSFTNGP06.phx.gbl...
Bonjour à toutes et à tous,
MS a publié une annonce il y a deux jours concernant une vulnérabilité
probable dans le module WebDAV de IIS (IIS 7 et 7.5 ne sont pas affectés):
http://www.microsoft.com/technet/security/advisory/971492.mspx
Il est important de noter que cela concerne l'implémentation de WebDAV
livrée avec IIS et non celle livrée avec SharePoint.
Toutefois, j'ai souvent vu des administrateurs qui, de bonne foi,
activaient WebDAV au niveau de IIS pensant que c'était un prérequis pour
SharePoint -> Ce n'est absolument pas le cas.
Si vous mettez en place l'outil URLScan afin de mitiger ce problème et que
le serveur héberge SharePoint, veillez à bien tester la configuration et
en particulier à autoriser les verbes WebDAV sinon, plus d'explorer view
ou d'intégration avec Office!
Encore une fois, aucune crainte à avoir si vous tournez Server 2008 ou
2008 R2.
--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]
Donner les droits en écriture a l'utilisateur iuser_, ou lui donner des
droits en dehors des arborescences de sites web me parait déjà au delà de la
limite.
En tout cas, merci Marc de poster l'info ici, et de la précision concernant
SharePoint.
"Lognoul Marc [MVP]" a écrit dans le message de news:
Bonjour à toutes et à tous,
MS a publié une annonce il y a deux jours concernant une vulnérabilité probable dans le module WebDAV de IIS (IIS 7 et 7.5 ne sont pas affectés): http://www.microsoft.com/technet/security/advisory/971492.mspx
Il est important de noter que cela concerne l'implémentation de WebDAV livrée avec IIS et non celle livrée avec SharePoint. Toutefois, j'ai souvent vu des administrateurs qui, de bonne foi, activaient WebDAV au niveau de IIS pensant que c'était un prérequis pour SharePoint -> Ce n'est absolument pas le cas.
Si vous mettez en place l'outil URLScan afin de mitiger ce problème et que le serveur héberge SharePoint, veillez à bien tester la configuration et en particulier à autoriser les verbes WebDAV sinon, plus d'explorer view ou d'intégration avec Office!
Encore une fois, aucune crainte à avoir si vous tournez Server 2008 ou 2008 R2.
-- Marc [MCSE, MCTS, MVP] [Heureux celui qui a pu pénétrer les causes secrètes des choses] [Blog: http://www.marc-antho-etc.net/blog/]
Donner les droits en écriture a l'utilisateur iuser_, ou lui donner des droits en dehors des arborescences de sites web me parait déjà au delà de la limite. En tout cas, merci Marc de poster l'info ici, et de la précision concernant SharePoint.
Lognoul Marc [MVP]
Salut Jérôme,
Donner les droits en écriture a l'utilisateur iuser_, ou lui donner des droits en dehors des arborescences de sites web me parait déjà au delà de la limite.
Entièrement d'accord avec toi mais je pense que certaines permissions lui viennent du groupe local "Utilisateurs" dont il est membre "de facto". Personnellement, j'applique toujours la méthode du "Deny Write" pour tous les utilisateurs anonymes...
-- Marc [MCSE, MCTS, MVP] [Heureux celui qui a pu pénétrer les causes secrètes des choses] [Blog: http://www.marc-antho-etc.net/blog/]
Salut Jérôme,
Donner les droits en écriture a l'utilisateur iuser_, ou lui donner des
droits en dehors des arborescences de sites web me parait déjà au delà de
la limite.
Entièrement d'accord avec toi mais je pense que certaines permissions lui
viennent du groupe local "Utilisateurs" dont il est membre "de facto".
Personnellement, j'applique toujours la méthode du "Deny Write" pour tous
les utilisateurs anonymes...
--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]
Donner les droits en écriture a l'utilisateur iuser_, ou lui donner des droits en dehors des arborescences de sites web me parait déjà au delà de la limite.
Entièrement d'accord avec toi mais je pense que certaines permissions lui viennent du groupe local "Utilisateurs" dont il est membre "de facto". Personnellement, j'applique toujours la méthode du "Deny Write" pour tous les utilisateurs anonymes...
-- Marc [MCSE, MCTS, MVP] [Heureux celui qui a pu pénétrer les causes secrètes des choses] [Blog: http://www.marc-antho-etc.net/blog/]