CERTA-2006-AVI-282
Vulnerability from certfr_avis

None

Description

ASP (Microsoft Active Server Pages) est une technologie de script côté serveur qui permet de créer des applications Web dynamiques et interactives. Une page ASP est une page HTML qui contient des scripts côté serveur qui sont traités par le serveur Web avant d'être envoyés au navigateur de l'utilisateur.

IIS (pour Internet Information Services) comporte une vulnérabilité d'exécution de code à distance due à son mode de contrôle des pages ASP. Une personne malveillante peut exploiter cette vulnérabilité en créant une page ASP spécialement conçue, et ainsi, exécuter du code à distance lorsqu'IIS traite ce fichier sur le système vulnérable.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None
Impacted products
Vendor Product Description
Microsoft N/A Microsoft Internet Information Services (IIS) 6.0 ;
Microsoft N/A Microsoft Internet Information Services (IIS) 5.1 ;
Microsoft N/A Microsoft Internet Information Services (IIS) 5.0.
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft Internet Information Services (IIS) 6.0 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Internet Information Services (IIS) 5.1 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Internet Information Services (IIS) 5.0.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nASP (Microsoft Active Server Pages) est une technologie de script c\u00f4t\u00e9\nserveur qui permet de cr\u00e9er des applications Web dynamiques et\ninteractives. Une page ASP est une page HTML qui contient des scripts\nc\u00f4t\u00e9 serveur qui sont trait\u00e9s par le serveur Web avant d\u0027\u00eatre envoy\u00e9s au\nnavigateur de l\u0027utilisateur.\n\nIIS (pour Internet Information Services) comporte une vuln\u00e9rabilit\u00e9\nd\u0027ex\u00e9cution de code \u00e0 distance due \u00e0 son mode de contr\u00f4le des pages ASP.\nUne personne malveillante peut exploiter cette vuln\u00e9rabilit\u00e9 en cr\u00e9ant\nune page ASP sp\u00e9cialement con\u00e7ue, et ainsi, ex\u00e9cuter du code \u00e0 distance\nlorsqu\u0027IIS traite ce fichier sur le syst\u00e8me vuln\u00e9rable.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2006-0026",
      "url": "https://www.cve.org/CVERecord?id=CVE-2006-0026"
    }
  ],
  "initial_release_date": "2006-07-12T00:00:00",
  "last_revision_date": "2006-07-12T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS06-034 du 11 juillet 2006    :",
      "url": "http://www.microsoft.com/france/technet/security/Bulletin/MS06-034.mspx"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS06-034 du 11 juillet 2006    :",
      "url": "http://www.microsoft.com/technet/security/Bulletin/MS06-034.mspx"
    }
  ],
  "reference": "CERTA-2006-AVI-282",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2006-07-12T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": null,
  "title": "Vuln\u00e9rabilit\u00e9 de Microsoft IIS utilisant ASP",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft du 11 juillet 2006",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.