L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Microsoft IAG

bulletin de vulnérabilité CVE-2011-1895 CVE-2011-1896 CVE-2011-1897

Microsoft Forefront Unified Access Gateway : cinq vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Forefront Unified Access Gateway, afin de mener des Cross Site Scripting, d'exécuter du code, ou de mener un déni de service.
Produits concernés : Forefront Unified Access Gateway, Microsoft IAG.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client, déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/10/2011.
Références : 2544641, BID-49972, BID-49974, BID-49979, BID-49980, BID-49983, CVE-2011-1895, CVE-2011-1896, CVE-2011-1897, CVE-2011-1969, CVE-2011-2012, MS11-079, SA-20111012-0, VIGILANCE-VUL-11053.

Description de la vulnérabilité

Le produit Microsoft Forefront Unified Access Gateway fournit des accès distants. Il est impacté par cinq vulnérabilités.

Un attaquant peut employer une requête HTTP spéciale, qui est scindée en deux. Sa deuxième partie peut contenir du code JavaScript qui est exécuté dans le contexte d'un autre site web. [grav:2/4; BID-49979, CVE-2011-1895]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte d'un autre site web. [grav:2/4; BID-49972, CVE-2011-1896]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte d'un autre site web. [grav:2/4; BID-49974, CVE-2011-1897]

Le serveur Forefront Unified Access Gateway installe une applet Java sur le poste des clients VPN. Cependant, cette applet contient une vulnérabilité qui permet de faire exécuter du code sur la machine de la victime. [grav:3/4; BID-49983, CVE-2011-1969, SA-20111012-0]

Un attaquant peut employer un cookie de session spécial, afin de provoquer un déréférencement de pointeur NULL, qui stoppe le service IIS. [grav:2/4; BID-49980, CVE-2011-2012]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.