CERTA-2004-AVI-334

Vulnerability from certfr_avis - Published: 2004-10-13 - Updated: 2004-10-13

Une vulnérabilité de type déni de service à été découverte dans WebDAV.

Description

WebDAV (Web Distributed Authoring and Versioning) est une extention standardisée du protocole HTTP (Hypertext Transfer Protocol) permettant à plusieurs utilisateurs de travailler en coopération sur un serveur web.

L'interpréteur XML de Microsoft utilisé dans la mise en œuvre de WebDAV ne limite pas le nombre d'attributs pouvant être traités lors de la soumission de documents XML.

Un individu mal intentionné peut exploiter cette vulnérabilité afin d'effectuer un déni de service sur les versions des serveurs web Internet Information Server affectées grâce à l'envoi de requêtes HTTP judicieusement construites.

L'exploitation de cette vulnérabilité nécessite l'utilisation du service WebDAV.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Les applications suivantes sont affectées :

  • Internet Information Services 5.0 ;
  • Internet Information Services 5.1 ;
  • Internet Information Services 6.0.

sur les plates-formes :

  • Microsoft Windows 2000 SP3 et SP4 ;
  • Microsoft Windows XP et SP1 ;
  • Microsoft Windows XP 64-Bit Edition SP1 ;
  • Microsoft Windows XP 64-Bit Edition Version 2003 ;
  • Microsoft Windows Server 2003 ;
  • Microsoft Windows Server 2003 64-Bit Edition.
Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eLes applications suivantes sont affect\u00e9es :\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eInternet Information Services 5.0 ;\u003c/LI\u003e    \u003cLI\u003eInternet Information Services 5.1 ;\u003c/LI\u003e    \u003cLI\u003eInternet Information Services 6.0.\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003esur les plates-formes :\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eMicrosoft Windows 2000 SP3 et SP4 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP et SP1 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP 64-Bit Edition SP1 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP 64-Bit Edition Version 2003 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 64-Bit Edition.\u003c/LI\u003e  \u003c/UL\u003e",
  "content": "## Description\n\nWebDAV (Web Distributed Authoring and Versioning) est une extention\nstandardis\u00e9e du protocole HTTP (Hypertext Transfer Protocol) permettant\n\u00e0 plusieurs utilisateurs de travailler en coop\u00e9ration sur un serveur\nweb.\n\nL\u0027interpr\u00e9teur XML de Microsoft utilis\u00e9 dans la mise en \u0153uvre de WebDAV\nne limite pas le nombre d\u0027attributs pouvant \u00eatre trait\u00e9s lors de la\nsoumission de documents XML.\n\nUn individu mal intentionn\u00e9 peut exploiter cette vuln\u00e9rabilit\u00e9 afin\nd\u0027effectuer un d\u00e9ni de service sur les versions des serveurs web\nInternet Information Server affect\u00e9es gr\u00e2ce \u00e0 l\u0027envoi de requ\u00eates HTTP\njudicieusement construites.\n\nL\u0027exploitation de cette vuln\u00e9rabilit\u00e9 n\u00e9cessite l\u0027utilisation du service\nWebDAV.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [],
  "initial_release_date": "2004-10-13T00:00:00",
  "last_revision_date": "2004-10-13T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS04-030 du 12 octobre 2004    :",
      "url": "http://www.microsoft.com/technet/security/bulletin/ms04-030.mspx"
    }
  ],
  "reference": "CERTA-2004-AVI-334",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-10-13T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 de type d\u00e9ni de service \u00e0 \u00e9t\u00e9 d\u00e9couverte dans WebDAV.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans WebDAV",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 MS04-030 de Microsoft",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.