0
Une faille de sécurité a été découverte dans les serveurs IIS 5.0 (serveur HTTP) et Exchange 2000 (serveur de mail et de co-working).
Une nouvelle faille de sécurité, touchant les serveurs Microsoft Internet Information Server 5.0 et Microsoft Exchange 2000 a été découverte récemment.
Cette faille est en fait un Buffer Overflow, déclenché par une URL envoyée par le client (suffisamment longue pour dépasser la zone mémoire allouée) qui va créer un débordement mémoire dans IIS, ce qui va entraîner le serveur à exécuter des portions de code envoyées par le client.
C'est en envoyant une URL au serveur qu'un client peut donc bloquer le serveur, et même lui faire exécuter du code malicieux. Le problème existe aussi dans Exchange 2000, car ce dernier utilise une partie du code de IIS 5.0 pour manipuler les URL contenues dans les e-mails.
Mais il n'est pas vulnérable au même titre que IIS, car il fait appel à IIS pour accomplir cette tâche. Donc le serveur Exchange peut entraîner le problème sur IIS, mais ne risque rien lui-même.
Microsoft rappelle également qu'un serveur Exchange victime de ce type d'attaque ne serait privé que de l'interface web mail, et que les connections du type MAPI fonctionneraient toujours.
Une nouvelle faille de sécurité, touchant les serveurs Microsoft Internet Information Server 5.0 et Microsoft Exchange 2000 a été découverte récemment.
Cette faille est en fait un Buffer Overflow, déclenché par une URL envoyée par le client (suffisamment longue pour dépasser la zone mémoire allouée) qui va créer un débordement mémoire dans IIS, ce qui va entraîner le serveur à exécuter des portions de code envoyées par le client.
C'est en envoyant une URL au serveur qu'un client peut donc bloquer le serveur, et même lui faire exécuter du code malicieux. Le problème existe aussi dans Exchange 2000, car ce dernier utilise une partie du code de IIS 5.0 pour manipuler les URL contenues dans les e-mails.
Mais il n'est pas vulnérable au même titre que IIS, car il fait appel à IIS pour accomplir cette tâche. Donc le serveur Exchange peut entraîner le problème sur IIS, mais ne risque rien lui-même.
Microsoft rappelle également qu'un serveur Exchange victime de ce type d'attaque ne serait privé que de l'interface web mail, et que les connections du type MAPI fonctionneraient toujours.
