IIS 6 ? Oubliez WebDAV pour l’instant Jerome Saiz le 19 mai 2009 à 13h52, dans la rubrique Menaces Commentaires (2) exploitiis 6internet information servicesmicrosoft iisvulnérabilitéwebdav Une vulnérabilité dans la prise en charge du protocole WebDAV par Microsoft II6 est actuellement exploitée par des attaquants. Un code zero-day public serait d’ailleurs disponible depuis ce week-end. La vulnérabilité permettrait à un intrus de contourner l’authentification distante et d’accéder aux documents qui y sont stockés (avec les droits de l’utilisateur anonymous). En attendant un correctif, et à défaut de désactiver WebDAV, il est conseillé d’interdire ce dernier au niveau de l’IPS / IDS en bloquant les en-têtes de type « Translate: f » (oui, cela rappellera quelque chose aux vétérans, IIS5 était déjà vulnérable via WebDAV en 2000 et le remède était le même). Microsoft a publié un bulletin d’alerte au sujet de cette vulnérabilité. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!