18/05/01
Même avec le patch de Microsoft, IIS reste vulnérable
Hier, Microsoft informait
les administrateurs de sites web d'une faille de sécurité
dans les versions 4.0 et 5.0 de IIS (Internet Information
Server). Et l'éditeur joignait enfin à cet
avertissment concernant son application serveur un patch
censé la sécuriser complètement.
L'ensemble des failles de sécurité détectées
depuis le lancement du produit auraient été
prises en comptes et définitivement réparées.
Les experts en sécurité des réseaux
émettent toutefois certains doutes quant à
l'efficacité absolue de la mise à jour bruyamment
annoncée par Microsoft. Ceux-ci s'interrogent notamment
sur un problème relevé le 1er mars 2001
par un intervenant sur la liste spécialisée
Bugtraq.
La
hantise du déni de service (DoS)
L'objectif de
tout administrateur de serveur web consiste avant tout
à s'assurer que son site demeure disponible afin
de pouvoir fonctionner comme prévu. Les fameuses
attaques fondées sur le déni de service
(DoS, pour Denial of Service) visent à saturer
un serveur afin qu'il repousse, par une forme de protection
automatique, toute tentative de connexion. Les pages
web ne sont dès lors plus accessibles car le
serveur rejette toute requête. Voici ce que permet
le type de faille repérée dans la sécurité
de la plate-forme serveur Microsoft.
Alors que
Microsoft annonçait hier que son "patch
miracle" serait désormais distribué
avec les mises à jour de ses applications, une
fuite mémoire dans le premier patch mis en ligne
a très rapidement nécessité sa
mise à jour. Par la suite, les spécialistes
ont constaté qu'après de nouvelles mises
à jour, le patch final demeurait incomplètement
efficace : divers problèmes dans la gestion
des URL par IIS affecteraient toujours les versions
4.0 et 5.0 de la plate-forme. Ceux-ci donneraient éventuellement
la possibilité à une personne mal intentionnée
de provoquer un "buffer overflow", surcharge
du processeur due au dysfonctionnement du logiciel et
conduisant à un DoS.
La procédure à suivre pour en finir avec
cette faille et le patch idoine font donc l'objet de
recherches permanentes de la part de Microsoft mais
aussi et surtout de ceux qui utilisent son application
serveur. A quand un vraie solution de sécurisation ?
|