05/03/2001
Windows
2000 + IIS 5.0 : refermez la porte grande ouverte aux
catastrophes !
Aujourd'hui,
connaître la liste des bugs touchant les principaux
serveurs web du commerce (Apache, IIS, iPlanet...) tient
réellement de l'exploit, tellement ils s'avèrent
nombreux. Ici, la palme est remportée par Microsoft,
qui édite le produit Internet Information Server.
Aujourd'hui, celui-ci se retrouve de nouveau concerné
par une faille
de sécurité. Mais à présent,
il ne s'agit plus seulement de faire "planter"
le serveur, ni même d'accéder à un
répertoire particulier. Le hacker, s'il l'exploite,
emporte le privilège d'administrateur. En clair,
il suffit que Windows 2000 Server ait été
installé avec IIS 5.0 en vue de servir de plate-forme
à un site web, sans avoir ouvert aucun autre port
applicatif TCP/IP, pour que le pirate prenne littéralement
possession du serveur à distance.
Larcins, destructions, substitutions... tout est possible,
dès lors que l'ensemble Windows 2000 + IIS 5.0
est installé, et que l'option par défaut
d'impression en ligne sur IP n'a pas été
décochée dans les paramètres du système
d'exploitation. Pour cela, il suffit au malfaisant d'insérer
dans l'une des boîtes de dialogue une chaîne
de caractère particulière, sur laquelle
nous n'apportons aucune autre précision pour des
raisons éthiques. Le fautif est un buffer (mémoire
tampon) non sécurisé au sein d'une portion
de code qui autorise la saisie de certains paramètres.
Cette portion se situe dans une extension ISAPI utilisée
par les développeurs de nouvelles fonctions. Une
fois saisie, la chaîne de caractères incriminée
provoque un "buffer overrun", c'est à
dire un écrasement du tampon qui donne la main
au pirate en local.
Microsoft
urge la communauté web vers le correctif
Pour l'éditeur, qui a mis en ligne un
"patch" ou petit programme correctif
téléchargeable dès maintenant,
il convient de ne pas tarder dans la mise à jour
des configurations Windows 2000 Server avec IIS 5.0
installé. Sont autant concernées les versions
de base et Advanced de Windows 2000 Server, pour lesquelles
s'applique le correctif, que Datacenter Server qui réclame
une autre mise à jour spécifique au matériel.
Celle-ci doit être obtenue directement auprès
du constructeur, ce qui peut générer des
inégalités.
Le communiqué
d'avertissement de Microsoft a été mis
en ligne le 1er mai au matin. D'après les propos
tenus par Marc Maiffret, chief hacking officer au sein
de la société spécialisée
eEye
Digital Security, à notre confrère américain
CNET, près d'un million de sites web seraient concernés
dans le monde. Selon les statistiques de Netcraft,
un moteur qui fait le tour du web pour déterminer
les logiciels qui servent de plates-formes aux sites,
IIS serait installé sur près de 20,6 %
des serveurs autour de la planète. Mais heureusement,
la faille ne concerne que la dernière version du
produit. Microsoft, qui aurait été prévenu
il y a deux semaines de l'existence de la faille par l'éditeur
spécialiste de la question, s'est empressé
de travailler sur le correctif. Il faut dire qu'en la
matière, l'éditeur a plutôt à
se faire pardonner.
|