Même avec le patch de Microsoft, IIS reste vulnérable

Hier, Microsoft informait les administrateurs de sites web d'une faille de sécurité dans les versions 4.0 et 5.0 de IIS (Internet Information Server). Et l'éditeur joignait enfin à cet avertissment concernant son application serveur un patch censé la sécuriser complètement. L'ensemble des failles de sécurité détectées depuis le lancement du produit auraient été prises en comptes et définitivement réparées. Les experts en sécurité des réseaux émettent toutefois certains doutes quant à l'efficacité absolue de la mise à jour bruyamment annoncée par Microsoft. Ceux-ci s'interrogent notamment sur un problème relevé le 1er mars 2001 par un intervenant sur la liste spécialisée Bugtraq.

La hantise du déni de service (DoS)
L'objectif de tout administrateur de serveur web consiste avant tout à s'assurer que son site demeure disponible afin de pouvoir fonctionner comme prévu. Les fameuses attaques fondées sur le déni de service (DoS, pour Denial of Service) visent à saturer un serveur afin qu'il repousse, par une forme de protection automatique, toute tentative de connexion. Les pages web ne sont dès lors plus accessibles car le serveur rejette toute requête. Voici ce que permet le type de faille repérée dans la sécurité de la plate-forme serveur Microsoft.

Alors que Microsoft annonçait hier que son "patch miracle" serait désormais distribué avec les mises à jour de ses applications, une fuite mémoire dans le premier patch mis en ligne a très rapidement nécessité sa mise à jour. Par la suite, les spécialistes ont constaté qu'après de nouvelles mises à jour, le patch final demeurait incomplètement efficace : divers problèmes dans la gestion des URL par IIS affecteraient toujours les versions 4.0 et 5.0 de la plate-forme. Ceux-ci donneraient éventuellement la possibilité à une personne mal intentionnée de provoquer un "buffer overflow", surcharge du processeur due au dysfonctionnement du logiciel et conduisant à un DoS.

La procédure à suivre pour en finir avec cette faille et le patch idoine font donc l'objet de recherches permanentes de la part de Microsoft mais aussi et surtout de ceux qui utilisent son application serveur. A quand un vraie solution de sécurisation ?