http://france.internet.com/news.asp?news_id=2744
 
17/05/01 -  Problème de sécurité dans Microsoft IIS
 
Une annonce du CERT prévient qu'une importante vulnérabilité dans Microsoft IIS permettrait à un intrus d'exécuter des commandes sur un serveur Web IIS.  
Découverte par NSFocus, une société de consulting chinoise faisant un contrôle de routine, la faille de sécurité permettrait à un intrus d'exécuter des commandes sur un serveurs Web, de remplacer des pages, d'obtenir des privilèges supplémentaires et de contrôler des transactions. Cependant, il ne serait pas possible d'avoir un contrôle administratif direct sur la machine.  
Le problème provient du fait que certaines entrées sont décodées deux fois par IIS alors que le second décodage est superflus. Quand le contrôle de sécurité est appliqué au résultat du premier décodage, IIS utilise le résultat du second, qui n'a donc pas été contrôlé, ouvrant ainsi un accès au fichier.  
Pour régler ce problème, il est recommandé aux utilisateurs de configurer leurs serveurs Web suivant les directives suivantes:  
http://www.microsoft.com/technet/security/iis5chk.asp  
http://www.microsoft.com/technet/security/iischk.asp  
http://www.microsoft.com/technet/security/tools.asp  
Microsoft a également prévu un patch.  
Il s'agit de la deuxième faille de ce type découverte sur IIS.  
D'après un article d'Internet.com