CERTA-2009-ALE-007
Vulnerability from certfr_alerte
Une vulnérabilité a été identifiée dans Microsoft IIS avec la fonctionnalité WebDAV. Elle permet à une personne malveillante distante de contourner la phase d'authentification et ainsi accéder (lire, charger et télécharger) à des fichiers arbitraires.
Description
Une vulnérabilité a été identifiée dans la gestion des en-têtes HTTP par le serveur Microsoft IIS avec la fonctionnalité WebDAV (Web-based Distributed Authoring and Versioning). Elle consiste en une mauvaise manipulation de caractères Unicode et peut être exploitée pour contourner la phase d'authentification et ainsi accéder (lire, charger et télécharger) à des fichiers arbitraires.
Du code d'exploitation est disponible sur l'Internet.
Contournement provisoire
Plusieurs contournements sont envisageables dans l'attente d'un correctif :
- si WebDAV n'est pas nécessaire, il doit être désactivé. C'est le cas par défaut sous IIS 6 ;
- restreindre l'accès Web aux machines de confiance ;
- filtrer les requêtes HTTP entrantes dont l'URL contient la chaîne %c0%af et l'en-tête HTTP présente l'information Translate: f. L'assistant IIS Lockdown et URLscan peuvent aider dans cette démarche, ainsi qu'une passerelle intermédiaire. Les méthodes inutiles doivent également être filtrées (PROPFIND par exemple). ;
- changer les droits d'accès (ACL) du système de fichiers pour l'utilisateur anonyme IUSR_[Nom-de-la-machine] ;
- migrer sous IIS 7 qui n'est pas, avec WebDAV, touché par cette vulnérabilité.
Solution
Se référer au bulletin de sécurité Microsoft MS09-020 pour l'obtention des correctifs (cf. section Documentation). Le CERTA a publié l'avis CERTA-2009-AVI-215 à ce sujet.
- Microsoft Internet Information Services (IIS), pour les versions 5, 5.1 ou 6.0.
Microsoft Internet Information Services (IIS) 7.0 n'est pas affecté.
Impacted products
| Vendor | Product | Description |
|---|
References
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cUL\u003e \u003cLI\u003eMicrosoft Internet Information Services (IIS), pour les versions 5, 5.1 ou 6.0.\u003c/LI\u003e \u003c/UL\u003e \u003cP\u003eMicrosoft Internet Information Services (IIS) 7.0 n\u0027est pas affect\u00e9.\u003c/P\u003e",
"closed_at": "2009-06-10",
"content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans la gestion des en-t\u00eates HTTP par\nle serveur Microsoft IIS avec la fonctionnalit\u00e9 WebDAV (Web-based\nDistributed Authoring and Versioning). Elle consiste en une mauvaise\nmanipulation de caract\u00e8res Unicode et peut \u00eatre exploit\u00e9e pour\ncontourner la phase d\u0027authentification et ainsi acc\u00e9der (lire, charger\net t\u00e9l\u00e9charger) \u00e0 des fichiers arbitraires.\n\nDu code d\u0027exploitation est disponible sur l\u0027Internet.\n\n## Contournement provisoire\n\nPlusieurs contournements sont envisageables dans l\u0027attente d\u0027un\ncorrectif\u00a0:\n\n- si WebDAV n\u0027est pas n\u00e9cessaire, il doit \u00eatre d\u00e9sactiv\u00e9. C\u0027est le cas\n par d\u00e9faut sous IIS 6\u00a0;\n- restreindre l\u0027acc\u00e8s Web aux machines de confiance\u00a0;\n- filtrer les requ\u00eates HTTP entrantes dont l\u0027URL contient la cha\u00eene\n %c0%af et l\u0027en-t\u00eate HTTP pr\u00e9sente l\u0027information Translate: f.\n L\u0027assistant IIS Lockdown et URLscan peuvent aider dans cette\n d\u00e9marche, ainsi qu\u0027une passerelle interm\u00e9diaire. Les m\u00e9thodes\n inutiles doivent \u00e9galement \u00eatre filtr\u00e9es (PROPFIND par exemple).\u00a0;\n- changer les droits d\u0027acc\u00e8s (ACL) du syst\u00e8me de fichiers pour\n l\u0027utilisateur anonyme IUSR\\_\\[Nom-de-la-machine\\]\u00a0;\n- migrer sous IIS 7 qui n\u0027est pas, avec WebDAV, touch\u00e9 par cette\n vuln\u00e9rabilit\u00e9.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 Microsoft MS09-020 pour l\u0027obtention\ndes correctifs (cf. section Documentation). Le CERTA a publi\u00e9 l\u0027avis\nCERTA-2009-AVI-215 \u00e0 ce sujet.\n",
"cves": [
{
"name": "CVE-2009-1535",
"url": "https://www.cve.org/CVERecord?id=CVE-2009-1535"
}
],
"initial_release_date": "2009-05-18T00:00:00",
"last_revision_date": "2009-06-10T00:00:00",
"links": [
{
"title": "Forum IIS, \"Disable WebDAV protocol on IIS 6.0\", mai 2008\u00a0:",
"url": "http://support.microsoft.com/kb/241520"
},
{
"title": "R\u00e9f\u00e9rence CVE CVE-2009-1535\u00a0:",
"url": "http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1535"
},
{
"title": "Page d\u0027accueil Microsoft IIS\u00a0:",
"url": "http://www.microsoft.com/windowsserver2003/iis/default.mspx"
},
{
"title": "Microsoft IIS Lockdown Tool\u00a0:",
"url": "http://technet.microsoft.com/en-us/library/dd450372.aspx"
},
{
"title": "Microsoft IIS Lockdown Tool\u00a0:",
"url": "http://support.microsoft.com/kb/325864/fr"
},
{
"title": "Forum IIS, \"Disable WebDAV protocol on IIS 6.0\", mai 2008\u00a0:",
"url": "http://forums.iis.net/t/1149348.aspx"
},
{
"title": "Avis du CERTA CERTA-2001-AVI-053 du 15 mai 2001\u00a0:",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2001-AVI-053/"
},
{
"title": "Bloc-notes de T. Zoller, \"IIS6 + WebDAV auth bypass and data upload\", 16 mai 2009\u00a0:",
"url": "http://blog.zoller.lu/2009/05/iis-6-webdac-auth-bypass-and-data.html"
},
{
"title": "Source d\u0027informations sur WebDAV\u00a0:",
"url": "http://www.webdav.org"
},
{
"title": "Avis de s\u00e9curit\u00e9 Microsoft 971492 du 18 mai 2009\u00a0:",
"url": "http://www.microsoft.com/technet/security/advisory/971492.mspx"
},
{
"title": "Bloc-notes Microsoft SRD, \"More information about the IIS authentication bypass\", 18 mai 2009\u00a0:",
"url": "http://blogs.technet.com/srd/archive/2009/05/18/more-information-about-the-iis-authentication-bypass.aspx"
},
{
"title": "Avis CERTA-2009-AVI-215 du 10 juin 2009\u00a0:",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-215/"
}
],
"reference": "CERTA-2009-ALE-007",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2009-05-18T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence \u00e0 l\u0027avis de s\u00e9curit\u00e9 Microsoft associ\u00e9.",
"revision_date": "2009-05-19T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Microsoft MS09-020.",
"revision_date": "2009-06-10T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans Microsoft IIS avec la\nfonctionnalit\u00e9 WebDAV. Elle permet \u00e0 une personne malveillante distante\nde contourner la phase d\u0027authentification et ainsi acc\u00e9der (lire,\ncharger et t\u00e9l\u00e9charger) \u00e0 des fichiers arbitraires.\n",
"title": "Vuln\u00e9rabilit\u00e9 WebDAV sous Microsoft IIS",
"vendor_advisories": []
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…
Loading…