Bulletin de sécurité Microsoft MS14-076 - Important

Une vulnérabilité dans Internet Information Services (IIS) pourrait permettre de contourner la fonctionnalité de sécurité (2982998)

Date de publication : 11 novembre 2014 | Date de mise à jour : 19 décembre 2014

Version : 1.1

Synthèse

Cette mise à jour de sécurité corrige une vulnérabilité signalée à titre privé dans Microsoft Internet Information Services (IIS) qui pourrait conduire à un contournement de la fonctionnalité de sécurité « Restrictions par adresse IP et nom de domaine ». Une exploitation réussie de cette vulnérabilité peut entraîner l'accès aux ressources web restreintes par des clients à partir de domaines bloqués ou restreints.

Cette mise à jour de sécurité est de niveau « important » pour toutes les éditions prises en charge de Microsoft Windows 8, Windows 8.1, Windows Server 2012 et Windows Server 2012 R2 RTM. Pour plus d'informations, consultez la section « Logiciels concernés ».

La mise à jour corrige la vulnérabilité en modifiant la manière dont IIS traite les demandes lorsqu'il existe des configurations des restrictions d'adresse IP et de domaine spécifiques. Pour obtenir plus d'informations sur cette vulnérabilité, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité.

Pour plus d'informations sur ce document, consultez l'Article 2982998 de la Base de connaissances Microsoft.

Logiciels concernés

Microsoft a testé les logiciels suivants afin de déterminer quelles versions ou éditions sont concernées. Toute autre version ou édition a atteint la fin de son cycle de vie ou bien n'est pas affectée. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Système d'exploitation Composant Impact de sécurité maximal Indice de gravité cumulée Mises à jour remplacées
Windows 8 et Windows 8.1
Windows 8 pour systèmes 32 bits Microsoft Internet Information Services 8.0
(2982998)
Contourner la fonctionnalité de sécurité Important Aucun
Windows 8 pour systèmes x64 Microsoft Internet Information Services 8.0
(2982998)
Contourner la fonctionnalité de sécurité Important Aucun
Windows 8.1 pour systèmes 32 bits Microsoft Internet Information Services 8.5
(2982998)
Contourner la fonctionnalité de sécurité Important Aucun
Windows 8.1 pour systèmes x64 Microsoft Internet Information Services 8.5
(2982998)
Contourner la fonctionnalité de sécurité Important Aucun
Windows Server 2012 et Windows Server 2012 R2
Windows Server 2012 Microsoft Internet Information Services 8.0
(2982998)
Contourner la fonctionnalité de sécurité Important Aucun
Windows Server 2012 R2 Microsoft Internet Information Services 8.5
(2982998)
Contourner la fonctionnalité de sécurité Important Aucun
Option d'installation Server Core
Windows Server 2012 (installation Server Core) Microsoft Internet Information Services 8.0
(2982998)
Contourner la fonctionnalité de sécurité Important Aucun
Windows Server 2012 R2 (installation Server Core) Microsoft Internet Information Services 8.5
(2982998)
Contourner la fonctionnalité de sécurité Important Aucun

Indices de gravité et identificateurs de vulnérabilité

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité de novembre.

Logiciels concernés Vulnérabilité liée au contournement de la fonctionnalité de sécurité dans IIS - CVE-2014-4078 Indice de gravité cumulée
IIS 8.0 sur Windows 8 pour systèmes 32 bits Important
Contourner la fonctionnalité de sécurité
Important
IIS 8.0 sur Windows 8 pour systèmes x64 Important
Contourner la fonctionnalité de sécurité
Important
IIS 8.5 sur Windows 8.1 pour systèmes 32 bits Important
Contourner la fonctionnalité de sécurité
Important
IIS 8.5 sur Windows 8.1 pour systèmes x64 Important
Contourner la fonctionnalité de sécurité
Important
IIS 8.0 sur Windows Server 2012 pour systèmes x64 Important
Contourner la fonctionnalité de sécurité
Important
IIS 8.0 sur Windows Server 2012 (installation Server Core) Important
Contourner la fonctionnalité de sécurité
Important
IIS 8.5 sur Windows Server 2012 R2 pour systèmes x64 Important
Contourner la fonctionnalité de sécurité
Important
IIS 8.5 sur Windows Server 2012 R2 (installation Server Core) Important
Contourner la fonctionnalité de sécurité
Important

Vulnérabilité liée au contournement de la fonctionnalité de sécurité dans IIS - CVE-2014-4078

Une vulnérabilité liée au contournement de la fonctionnalité de sécurité existe dans le Microsoft Information Services (IIS) survient lorsque des demandes web entrantes ne sont pas comparées correctement avec la liste de filtrage « Restrictions par adresse IP et nom de domaine ». Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients. La mise à jour corrige la vulnérabilité en modifiant la manière dont les demandes web entrantes sont comparées à la liste autoriser/refuser gérée par le composant « Restrictions par adresse IP et nom de domaine ».

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions

Les solutions de contournement suivantes peuvent être utiles, selon votre situation :

Forum aux questions

Qu'est-ce que la fonctionnalité « Restrictions par adresse IP et nom de domaine » ?
Il s'agit d'une fonctionnalité fournie dans le sous-composant « Sécurité IP » d'IIS qui permet de créer des listes d'autorisations/refus pour contrôler l'accès aux ressources web. Pour plus d'informations, consultez l'article Sécurité IP.

Existe-t-il des conditions requises pour la mise à jour 2982998 ?
Oui. Les clients doivent activer le sous-composant « Sécurité IP » d'IIS sur les clients Windows et/ou activer la fonctionnalité « Restrictions par adresse IP et nom de domaine » sur les serveurs Windows en tant que condition préalable pour pouvoir bénéficier de la mise à jour de sécurité.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Si un administrateur IIS a créé une règle de restriction de domaine générique, un attaquant provenant d'un domaine refusé pourrait accéder à un site web qu'un administrateur IIS pensait être restreint.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?
Pour exploiter cette vulnérabilité, un attaquant devrait posséder une connaissance approfondie du serveur IIS distant et de la topologie de réseau correspondante. Il devrait également contrôler les informations DNS inversées ou être capable de contaminer le DNS du serveur IIS faisant autorité pour fournir un nom de domaine mis en forme d'une manière qui provoque la vulnérabilité.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Les systèmes avec IIS qui utilisent « Restrictions d'adresse IP et de domaine » et sur lesquels la fonctionnalité « Activer les restrictions de nom de domaine » a été activé sont les plus exposés.

Déploiement des mises à jour de sécurité

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Remerciements

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation responsable des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (11 novembre 2014) : Bulletin publié.
  • V1.1 (19 décembre 2014) : Bulletin mis à jour pour inclure les installations Windows 2012 Server Core et Windows 2012 R2 Server Core comme logiciels concernés.

Page générée le 19/12/2014 11:50Z-08:00.