L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

alerte de vulnérabilité informatique CVE-2001-0241

Buffer overflow de l'en-tête Host

Synthèse de la vulnérabilité

Un buffer overflow dans IIS5 permet à un attaquant d'exécuter des commandes à distance avec les droits SYSTEM sur un serveur sous Windows 2000.
Produits vulnérables : Exchange, IIS, Microsoft Indexing Service, IE, PWS, Site Server, SQL Server, Windows 2000, Windows 98, Windows ME, Windows NT, Windows XP.
Gravité de cette faille : 4/4.
Conséquences d'un hack : accès/droits administrateur.
Origine du hacker : serveur internet.
Date création : 02/05/2001.
Dates révisions : 03/05/2001, 04/05/2001, 14/05/2001, 16/05/2001, 17/05/2001, 17/05/2001, 06/06/2001, 12/06/2001, 22/06/2001, 02/07/2001, 16/08/2001, 15/10/2001, 06/11/2001, 08/11/2001, 28/12/2001, 01/02/2002, 24/05/2004.
Références de ce bulletin : BID-2674, CA-2001-10, CERTA-2001-AVI-048, CIAC L-078, CVE-2001-0241, ISS0075, ISS 75, L-78, MS01-023, MS01-044, Q297860, Q311401, V6-WINIISPRINTERBOF, VIGILANCE-VUL-1566, VU#516648.

Description de la vulnérabilité

Internet Information Server 5 (IIS5) est un serveur web sur plateforme Microsoft 2000 Server et Advanced Server.

Le protocole Internet Printing Protocol (IPP) permet d'administrer à distance des imprimantes connectées en réseau par l'intermédiaire de requêtes HTTP. Ce protocole est mis en place par l'intermédiaire des extensions ISAPI, installées par défaut sur tous les Windows 2000 server. Pour pouvoir accéder ce service, il faut impérativement passer par IIS5.

Selon le protocole HTTP, plusieurs serveurs web peuvent être installés sur la même machine. Dans ce cas, pour différencier le serveur désiré par le client, celui-ci ajoute un en-tête 'Host'. Par exemple:
  GET url HTTP/version
  Host: nom_du_serveur

Lorsqu'un attaquant envoie une requête avec un nom d'hôte d'au moins 420 octets de données vers le serveur IIS5, un buffer overflow dans le filtre ISAPI .printer (C:\WINNT\System32\msw3prt.dll) se produit. Cette vulnérabilité peut être exploitée même derrière un firewall à partir du moment où les ports 80 (HTTP) ou 443 (HTTPS) sont ouverts.

Ceci permet donc à un attaquant distant soit de stopper le serveur web, soit d'exécuter des commandes avec les droits SYSTEM.
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des annonces de vulnérabilité informatique. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.