[INFO] Vulnerability in Internet Information Services Could Allow Elevation of Privilege

Le
Lognoul Marc [MVP]
Bonjour à toutes et à tous,

MS a publié une annonce il y a deux jours concernant une vulnérabilité
probable dans le module WebDAV de IIS (IIS 7 et 7.5 ne sont pas affectés):
http://www.microsoft.com/technet/security/advisory/971492.mspx

Il est important de noter que cela concerne l'implémentation de WebDAV
livrée avec IIS et non celle livrée avec SharePoint.
Toutefois, j'ai souvent vu des administrateurs qui, de bonne foi, activaient
WebDAV au niveau de IIS pensant que c'était un prérequis pour SharePoint ->
Ce n'est absolument pas le cas.

Si vous mettez en place l'outil URLScan afin de mitiger ce problème et que
le serveur héberge SharePoint, veillez à bien tester la configuration et en
particulier à autoriser les verbes WebDAV sinon, plus d'explorer view ou
d'intégration avec Office!

Encore une fois, aucune crainte à avoir si vous tournez Server 2008 ou 2008
R2.

--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
EROL MVP MOSS
Le #19388581
Bonjour,

Merci Marc
Cdlt

EROL

"Lognoul Marc [MVP]" groupe de discussion :
Bonjour à toutes et à tous,

MS a publié une annonce il y a deux jours concernant une vulnérabilité
probable dans le module WebDAV de IIS (IIS 7 et 7.5 ne sont pas affectés):
http://www.microsoft.com/technet/security/advisory/971492.mspx

Il est important de noter que cela concerne l'implémentation de WebDAV
livrée avec IIS et non celle livrée avec SharePoint.
Toutefois, j'ai souvent vu des administrateurs qui, de bonne foi,
activaient WebDAV au niveau de IIS pensant que c'était un prérequis pour
SharePoint -> Ce n'est absolument pas le cas.

Si vous mettez en place l'outil URLScan afin de mitiger ce problème et que
le serveur héberge SharePoint, veillez à bien tester la configuration et
en particulier à autoriser les verbes WebDAV sinon, plus d'explorer view
ou d'intégration avec Office!

Encore une fois, aucune crainte à avoir si vous tournez Server 2008 ou
2008 R2.

--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]


jbongran
Le #19393941
"Lognoul Marc [MVP]" news:
Bonjour à toutes et à tous,

MS a publié une annonce il y a deux jours concernant une vulnérabilité
probable dans le module WebDAV de IIS (IIS 7 et 7.5 ne sont pas affectés):
http://www.microsoft.com/technet/security/advisory/971492.mspx

Il est important de noter que cela concerne l'implémentation de WebDAV
livrée avec IIS et non celle livrée avec SharePoint.
Toutefois, j'ai souvent vu des administrateurs qui, de bonne foi,
activaient WebDAV au niveau de IIS pensant que c'était un prérequis pour
SharePoint -> Ce n'est absolument pas le cas.

Si vous mettez en place l'outil URLScan afin de mitiger ce problème et que
le serveur héberge SharePoint, veillez à bien tester la configuration et
en particulier à autoriser les verbes WebDAV sinon, plus d'explorer view
ou d'intégration avec Office!

Encore une fois, aucune crainte à avoir si vous tournez Server 2008 ou
2008 R2.

--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]




Donner les droits en écriture a l'utilisateur iuser_, ou lui donner des
droits en dehors des arborescences de sites web me parait déjà au delà de la
limite.
En tout cas, merci Marc de poster l'info ici, et de la précision concernant
SharePoint.
Lognoul Marc [MVP]
Le #19404401
Salut Jérôme,

Donner les droits en écriture a l'utilisateur iuser_, ou lui donner des
droits en dehors des arborescences de sites web me parait déjà au delà de
la limite.


Entièrement d'accord avec toi mais je pense que certaines permissions lui
viennent du groupe local "Utilisateurs" dont il est membre "de facto".
Personnellement, j'applique toujours la méthode du "Deny Write" pour tous
les utilisateurs anonymes...

--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]
Publicité
Poster une réponse
Anonyme