Les serveurs Internet Microsoft présentent suffisamment de défauts de sécurité pour permettre aux "crackers" de prendre le contrôle de sites, notamment ceux de e-commerce.
Systèmes > Windows
Recherche :   
Actualité Système Salon Concours Outils Programmation Devparadise Programmation HTML .Net JavaScript VBScript ASP PHP Visual Basic Perl Java Active X SQL XML WAP Delphi Graphisme Flash Web Design Promotion Référencement Publicité Valeur de votre site Outils Systèmes Windows Unix Linux Benchmark Hardware Réseaux locaux Droit Sécurité
Nouvelle faille dans la sécurité de IIS 4.0
  Auteur : Magali GIARD

Les serveurs Internet Microsoft présentent suffisamment de défauts de sécurité pour permettre aux "crackers" de prendre le contrôle de sites, notamment ceux de e-commerce.

Publicité 
   Les serveurs Internet Microsoft présentent suffisamment de défauts de sécurité pour permettre aux "crackers" de prendre le contrôle des sites de e-commerce. En effet, le défaut principal de MS IIS 4.0 (Microsoft Internet Information Server 4.0) est d'autoriser l'accès au niveau système du serveur, aux utilisateurs non-autorisés.

   Sur la plupart des serveurs, des codes sont nécessaires pour accéder aux différents niveaux, sauf sur IIS.

   Plus d'1,3 millions de serveurs fonctionnent avec IIS provoquant des fuites dans beaucoup d'opérations d'e-commerce.

   Microsoft confirme ce problème et pourtant n'en informe pas ses clients mais assure qu'un patch sera bientôt disponible.

   Ce défaut fait partie d'une longue liste affectant IIS.

   L'été dernier, un bug connu sous le nom de $DATA Bug (patch disponible) permettait l'accès au code source ASP et autres scripts utilisés sur IIS.

   En janvier, on a découvert un trou dans la sécurité qui exposait le code source et certaines informations de configuration sur les serveurs s'appuyant sur NT. Mais ce dernier problème semble être le plus sérieux à cause du niveau d'accès touché.

   Ce bug donne aux crackers l'accès aux bases de données et/ou aux logiciels installés sur le serveur. Ils peuvent donc voler les informations concernant les cartes de crédit ou publier des pages Web contrefaites.

   Par exemple, les crackers peuvent profiter du bug pour modifier les informations stockées sur le serveur (les prix par exemple).

   Cette faille permet aux utilisateurs de prendre le contrôle d'un serveur IIS 4.0 en créant un dépassement de capacité au niveau de la mémoire tampon sur les pages .htr. La conception de IIS prévoit la possibilité pour les utilisateurs de modifier leur mots de passe à distance.

   Ce dépassement de capacité a normalement pour effet de planter le système mais un bon cracker peut écrire un exécutable qui peut être utilisé pour démarrer un programme au niveau système procurant une fenêtre d'exécution de commande équivalente à celle du DOS.

   Désactiver les utilitaires de contrôle d'accès au fichier .htr ne corrige pas le problème. Plusieurs étapes sont nécessaires à la résolution du problème pour supprimer le défaut.

   Aujourd'hui, beaucoup de sites permettent aux crackers d'accéder à l'espace de travail, à l'insu du webmaster.

Traduction et synthèse de l'article de Niall McKay , WIRED.COM
le 15 juin 1999.
A lire aussi sur Devparadise.com :
  • Stratégie de sécurisation d'un réseau d'entreprise
  • Quelques notions de cryptage
  • Faille dans la sécurité de IIS 4.0 - Suite
  • Patch pour IIS 3 et 4
    • A télécharger aussi sur Devparadise.com :
  • Snort 2.0.2
  • mod_auth_mysql version 1.11 pour Linux/Unix
  • mod_auth_mysql version 1.11 pour windows
  • ASP Client Check 1.3
  • Med-Chat 065fix
    		•

    © 1997-2005 tous droits réservés Devparadise.com
    Les logos, et marques déposées sont la propriété de leurs détenteurs respectifs.
    Devparadise.com s'est engagé à respecter la confidentialité des données personnelles régies par la loi 78-17 du 6 janvier 1978.
    Déclaration C.N.I.L. n° 621623
    faille,sécurité,IIS4