CERTA-2006-AVI-281
Vulnerability from certfr_avis

None

Description

Une vulnérabilité a été identifiée dans la version 2.0 de Microsoft .NET Framework. Elle pourrait permettre à une personne mal intentionnée de contourner la sécurité ASP.Net et d'accéder de façon non autorisée à certains objets du Dossier d'application. L'exploration de répertoires est néanmoins désactivée par défaut pour les répertoires Dossier d'application. La personne doit donc connaître le nom des objets a priori.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

La version 2.0 de .NET Framework pour les systèmes d'exploitation suivants :

  • Microsoft Windows 2000 Service Pack 4 ;
  • Microsoft Windows XP Service Pack 1 ou Service Pack 2 ;
  • Microsoft Windows XP Professionnel Édition x64 ;
  • Microsoft Windows XP Édition Tablet PC, ou Édition Media Center ;
  • Microsoft Windows Server 2003 ou Windows Server 2003 Service Pack 1 ;

Les versions antérieures 1.0 et 1.1 de .NET Framework ne sont pas concernées par cette vulnérabilité, ainsi que les systèmes d'exploitation Microsoft Windows 98, Microsoft Windows 98 Deuxième Édition (SE) et Microsoft Windows Millennium Edition (ME).

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eLa version 2.0 de .NET Framework pour les syst\u00e8mes  d\u0027exploitation suivants :\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eMicrosoft Windows 2000 Service Pack 4 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP Service Pack 1 ou Service Pack 2    ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP Professionnel \u00c9dition x64 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP \u00c9dition Tablet PC, ou \u00c9dition Media    Center ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 ou Windows Server 2003    Service Pack 1 ;\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003eLes versions ant\u00e9rieures 1.0 et 1.1 de .NET Framework ne sont  pas concern\u00e9es par cette vuln\u00e9rabilit\u00e9, ainsi que les syst\u00e8mes  d\u0027exploitation Microsoft Windows 98, Microsoft Windows 98  Deuxi\u00e8me \u00c9dition (SE) et Microsoft Windows Millennium Edition  (ME).\u003c/P\u003e",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans la version 2.0 de Microsoft .NET\nFramework. Elle pourrait permettre \u00e0 une personne mal intentionn\u00e9e de\ncontourner la s\u00e9curit\u00e9 ASP.Net et d\u0027acc\u00e9der de fa\u00e7on non autoris\u00e9e \u00e0\ncertains objets du Dossier d\u0027application. L\u0027exploration de r\u00e9pertoires\nest n\u00e9anmoins d\u00e9sactiv\u00e9e par d\u00e9faut pour les r\u00e9pertoires Dossier\nd\u0027application. La personne doit donc conna\u00eetre le nom des objets a\npriori.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2006-1300",
      "url": "https://www.cve.org/CVERecord?id=CVE-2006-1300"
    }
  ],
  "initial_release_date": "2006-07-12T00:00:00",
  "last_revision_date": "2006-07-12T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS06-033 du 11 juillet 2006    :",
      "url": "http://www.microsoft.com/france/technet/security/Bulletin/MS06-033.mspx"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS06-033 du 11 juillet 2006    :",
      "url": "http://www.microsoft.com/technet/security/Bulletin/MS06-033.mspx"
    }
  ],
  "reference": "CERTA-2006-AVI-281",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2006-07-12T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": null,
  "title": "Vuln\u00e9rabilit\u00e9 de Microsoft .NET Framework",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft du 11 juillet 2006",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.