DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 231368 - Dernière mise à jour: jeudi 26 octobre 2006 - Version: 4.3

 
 

Sommaire

Symptômes

Microsoft a identifié un problème qui se produit dans certaines visionneuses de fichier sont fournis avec Microsoft site Server et Internet Information Server.

La vulnérabilité peut permettre un visiteur du site de Web pour afficher, mais ne pas à modifier, fichiers sur le serveur, sous réserve que le visiteur du sait ou détermine le nom de chaque fichier et possède droits d'accès au fichier basé sur les Windows NT Access listes de contrôle (ACL).

Cause

Les outils visionneuse de fichier ne limitent pas les fichiers d'un utilisateur peut afficher.

Résolution

Site Server 3.0

Pour résoudre ce problème, procurez-vous le dernier service pack site Server 3.0. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
219292  (http://support.microsoft.com/kb/219292/EN-US/ ) Comment faire pour obtenir le dernier Service Pack Site Server 3.0
Ce problème a été corrigé dans le site Server 3.0 Service Pack 3.

IIS 4.0

Un correctif a été développé pour IIS 4.0 et a été validé sur l'emplacement Internet suivant que Fix2450I.exe (Intel) ou Fix2450A.exe (Alpha) :
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/ (ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/)

Contournement

Pour éliminer le problème sur votre serveur Web qui peut être provoqué par ces visionneuses de fichier, vous devez :

  • Supprimer les visionneuses de fichiers concernés, sauf si elles sont requises spécifiquement sur le site Web. Les visionneuses de fichier suivants sont affectés : ViewCode.asp, ShowCode.asp Code.asp, CodeBrws.asp et Winmsdp.exe. Selon l'installation spécifique, tous ces fichiers peuvent être présentes sur un serveur. Il existe peut-être plusieurs copies de certains fichiers, afin de vous devez effectuer une recherche complète de vos serveurs pour rechercher toutes les copies.
  • Conformément aux directives de sécurité standard, fichier autorisations doivent toujours être définies pour permettre les visiteurs d'obtenir accéder uniquement les fichiers qu'ils besoin et pas d'autres personnes. Fichiers qui sont requises par le Web aux visiteurs doivent fournir le privilège nécessaire. Par exemple, les fichiers qui visiteurs doivent être en mesure de lire, mais pas d'écriture doit être définie à en lecture seule.
  • En règle générale, exemples de fichiers et racines virtuelles (vroots) doivent toujours supprimés à partir d'un serveur Web avant de mettre en production. Si exemples de fichiers et vroots sont nécessaires, autorisations d'accès de fichier à utiliser pour réguler l'accès à ces en fonction

Plus d'informations

Microsoft site Server et Internet (IIS) comprennent des outils qui permettent aux visiteurs du site Web d'afficher les fichiers sélectionnés sur le serveur. Ces outils sont installés par défaut dans le serveur de site, mais doivent être installés explicitement dans IIS. Ces outils sont fournies pour permettre aux utilisateurs d'afficher le code source d'exemples de fichiers comme un exercice de formation et ne sont pas destinés à être déployés sur les serveurs Web de production. Le problème sous-jacent de ce problème est que les outils ne limitent pas les fichiers qui permet un visiteur du site Web.

Notez les points suivants :
  • Ces visionneuses de fichier ne sont pas installés par défaut dans IIS. Elles sont installées dans IIS uniquement si vous choisissez d'installer les fichiers d'exemples de Web.
  • Cette vulnérabilité permet à un visiteur du site Web uniquement d'afficher les fichiers. Il n'est aucune fonctionnalité pour modifier les fichiers ou ajouter des fichiers sur le serveur.
  • Ce problème ne pas en aucune manière ignorer l'autorisation de fichier Windows NT ACL. Un visiteur du site Web pouvez utiliser ces outils pour afficher uniquement les fichiers dont listes de contrôle d'accès autorise les l'accès en lecture. L'administrateur du serveur Web détermine les autorisations spécifiques pour tous les fichiers sur le serveur.
  • Les visionneuses uniquement utilisable pour afficher les fichiers sur la même partition que la page Web actuellement affichée. Bases de données, tels que ceux utilisés par les serveurs de commerce électronique, sont généralement stockés sur un autre lecteur physique et ne serait pas exposé.
  • Le visiteur du site Web doit connaître ou deviner le nom de chaque fichier qu'ils souhaitent afficher.

Références supplémentaires


Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Site Server 3.0 Standard Edition
  • Microsoft Site Server 3.0 Commerce Edition
  • Microsoft Commercial Internet System 2.0
  • Microsoft BackOffice Server 4.0
  • Microsoft BackOffice Server 4.5
  • Microsoft Internet Information Server 4.0
Mots-clés : 
kbmt kbhotfixserver kbqfe kbpending kbprb kbqfe KB231368 KbMtfr
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 231368  (http://support.microsoft.com/kb/231368/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store