Cette mise à jour élimine la faille « File Permission Canonicalization » de Internet Information Server 4.0 (IIS 4.0) et de Internet Information Services 5.0 (IIS 5.0). Téléchargez-la maintenant pour éviter qu'une personne malveillante ne s'octroie des droits d'accès aux fichiers ISAPI (Internet Server Application Programming Interface) hébergés sur un serveur Web. Cette faille ne concerne pas les pages Web statiques ni les fichiers non Web tels que .exe, .doc ou .bat.

Cette faille peut dans certains cas entraîner l'application de droits d'accès incorrects à certains types de fichiers par IIS 4.0 ou IIS 5.0. Un fichier qui réside dans un dossier dont l'accès est limité et qui est appelé par le biais d'une URL incorrecte particulière se voit attribuer les droits d'accès d'un dossier parent et non ceux du dossier dans lequel il se trouve. Si les droits d'accès du dossier parent sont moins restrictifs que ceux du dossier approprié, la personne malveillante peut bénéficier de droits supplémentaires sur le fichier concerné. Cette faille ne peut être exploitée que dans des conditions très spécifiques :

• Elle n'affecte que les scripts CGI et les types de fichiers mis en œuvre par l'intermédiaire d'extensions ISAPI. Elle ne concerne pas les pages Web statiques ni les types de fichier non-Web tels que .exe, .doc ou .bat.
• Elle concerne uniquement les serveurs qui utilisent une structure de fichiers Web strictement identique à celle des dossiers physiques stockés sur le serveur.
• Elle permet à une personne malveillante de bénéficier de droits d'accès associés à un dossier parent, mais pas de s'octroyer de droits d'accès arbitraires.
• Elle ne permet pas de connaître le contenu du serveur ni de localiser les fichiers concernés.

Pour plus d'informations sur cette faille, consultez le Bulletin de sécurité MS00-057 (ce site est en anglais).

• Windows 2000 Professionnel
• Windows 2000 Server
• Windows 2000 Advanced Server
• Internet Information Server 4.0
• Internet Information Services 5.0

1. Cliquez sur Démarrer, pointez sur Paramètres, puis sélectionnez Panneau de configuration.
2. Double-cliquez sur Ajout/Suppression de programmes.
3. Sélectionnez Windows 2000 Hotfix (Pre-Sp2) [voir l'article Q269862 pour plus d'informations], puis cliquez sur Modifier/Supprimer pour procéder à la désinstallation.