Un nouveau patch Microsoft sécurise (vraiment) IIS

Nous nous interrogions récemment quant à l'éventualité de voir Microsoft proposer une solution de sécurisation efficace pour son application IIS (voir article JDNet Solutions du 18/05/01). C'est, semble-t-il aujourd'hui, chose faite. Les versions 4.0 et 5.0 d'Internet Information Server -particulièrement connues des administrateurs de sites web à l'heure actuelle- peuvent désormais se voir appliquer un patch cumulant l'ensemble des mises à jour nécessaires à une réelle sécurisation du serveur.

Rien ne sert de courir...
Microsoft affirme ainsi avoir publié un correctif suite à la détection d'une énième faille de sécurité due à une mauvaise interprétation des URL par IIS. Mis en ligne beaucoup plus discrètement, ce dernier prouve que le précédent patch -lancé à grand renfort d'annonces et déjà censé réparer l'ensemble des problèmes connus- n'était finalement pas si complet. Dès lors, consciente qu'une mise à jour de sécurité ne se révèle "définitive" que jusqu'à la prochaine découverte d'une faille, la firme ne semble pas communiquer spécialement sur cette nouvelle mouture. On note toutefois qu'il apparaît désormais possible de mettre son serveur web sous IIS 4.0 ou 5.0 à l'abri d'attaques telles que celles visant à provoquer un déni de service (DoS). Rien de définitif, certes, mais au moins ne connaît-on plus de problème non encore réparable.