===================================================================== CERT-Renater Note d'Information No. 2010/VULN359 _____________________________________________________________________ DATE : 15/09/2010 HARDWARE PLATFORM(S) : / OPERATING SYSTEM(S) : Windows XP, Server 2003, Vista, Server 2008, 7 ====================================================================== http://www.microsoft.com/france/technet/security/bulletin/MS10-065.mspx ______________________________________________________________________ Synthèse Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement dans Internet Information Services (IIS). La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un client envoyait une requête HTTP spécialement conçue au serveur. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Cette mise à jour de sécurité est de niveau « important » pour IIS 5.1, IIS 6.0, IIS 7.0 et IIS 7.5. Pour plus d'informations, consultez la sous-section « Logiciels concernés et non concernés » plus loin dans ce Bulletin. Cette mise à jour de sécurité corrige les vulnérabilités en modifiant la façon dont IIS traite les requêtes HTTP spécialement conçues. Pour obtenir plus d'informations sur les vulnérabilités, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité, dans la section « Informations par vulnérabilité ». Recommandation. La majorité de nos clients chez lesquels les mises à jour automatiques sont activées n'auront pas besoin d'entreprendre de nouvelle action car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Nos clients chez lesquels les mises à jour automatiques ne sont pas activées doivent rechercher les mises à jour et les installer manuellement. Pour plus d'informations sur les options de configuration spécifiques des mises à jour automatiques, consultez l'Article 294871 de la Base de connaissances Microsoft. Pour les administrateurs et les installations d'entreprise, ou bien pour les utilisateurs souhaitant installer cette mise à jour de sécurité manuellement, Microsoft recommande à ses clients d'appliquer cette mise à jour la plus rapidement possible à l'aide du logiciel de gestion des mises à jour ou en recherchant des mises à jour à l'aide du service Microsoft Update. Consultez également la section « Outils de détection, de déploiement et Conseils » dans ce même Bulletin. Problèmes connus : L'Article 2267960 de la Base de connaissances Microsoft décrit les problèmes connus auxquels les clients peuvent être confrontés lors de l'installation de cette mise à jour de sécurité. Cet article documente également les solutions palliatives recommandées. Lorsque les problèmes connus et les solutions palliatives recommandées concernent uniquement certaines versions spécifiques du logiciel, cet article fournit les liens vers les articles respectifs. ====================================================================== ========================================================= Les serveurs de référence du CERT-Renater http://www.urec.fr/securite http://www.cru.fr/securite http://www.renater.fr ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 151 bd de l'Hopital | fax : 01-53-94-20-41 + + 75013 Paris | email: certsvp@renater.fr + =========================================================