X

News Partenaire

Connaître ses actifs pour automatiser, protéger et optimiser les ressources

Apparu dans les années 80, les logiciels de gestion de parcs informatiques sont aujourd’hui des outils au cœur de la maîtrise des activités du service informatique. L’enjeu aujourd’hui réside dans la capacité du système d’information à tracer l’ensemble de ses services de son infrastructure afin de pouvoir optimiser au maximum son efficacité et réduire sensiblement les coûts.

Faille critique dans IIS 6.0, des millions de sites Web vulnérables

Une simple requête PROPFIND provoque un débordement de mémoire tampon sur WebDAV pour IIS 6.0 et rend vulnérables 600 000 machines tournant toujours sous Windows Server 2003. Des parades existent, mais aucun correctif officiel ne sera publié.

Deux chercheurs de l’université de Guangzhou ont mis le doigt sur une vulnérabilité de la version 6.0 du serveur web Internet Information Services (IIS 6.0) de Microsoft. L’exploit de cette faille (CVE-2017-7269) a été publié sur GitHub. Guère prudent, me direz-vous. Selon le duo, cette brèche de sécurité serait exploitée depuis l’été 2016.

Cette vulnérabilité consiste en un débordement de la mémoire tampon (buffer overflow) de la fonction ScStoragePathFromUrl sur l’extension HTTP WebDAV (pour Web Distributed Authoring and Versioning), laquelle permet de modifier ou de déplacer des fichiers sur un serveur. L’envoi d’une requête PROPFIND avec un entête anormalement long vers WebDAV suffit à l’exploiter pour exécuter, par exemple, un script malveillant.

Correctif non officiel

Microsoft a cessé le support d’IIS 6.0 en même temps que celui de Windows Server 2003, en juillet 2015. Ce qui signifie que cette vulnérabilité ne sera jamais officiellement corrigée. Il reste néanmoins 600 000 systèmes sous Windows Server 2003 et IIS 6.0, hébergeant un peu moins de 200 millions de sites Web, plus ceux des intranets d’entreprises potentiellement accessibles via un poste utilisateur compromis.

Un correctif non officiel diffusé par Acros Security permet toutefois d’atténuer la menace (notons qu’elle est applicable à chaud, sans avoir à redémarrer le serveur ou le processus). Il est également possible de désactiver WebDAV sur les serveurs IIS ou encore de migrer vers des solutions plus récentes, sachant que IIS 6.0 recèle sans doute d’autres vulnérabilités que CVE-2017-7269.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité

Dossier L'1FO

RGPD : la parole aux entreprises !

Si de nombreuses entreprises n’ont pas encore débuté le chantier, ou très peu, d’autres l’ont déjà entamé depuis plusieurs mois. Nous avons interrogé trois d’entre elles pour comprendre leurs démarches. Article paru dans le n°158 de L'Informaticien.


Afficher tous les dossiers
Offres d'emploi
RSS
12345678910Last

Lancez votre recherche sur la rubrique Emploi avec notre partenaire


LIVRES BLANCS

Une étude Ponemon sur les coûts liés aux failles de sécurité en France, un Livre Blanc 3M France

IBM et Ponemon Institute ont réalisé une étude en 2016 sur les coûts liés aux brèches de sécurité. L'étude a été accomplie dans de nombreux pays dont la France. Il ressort de cette étude que les coûts ont augmenté en passant de 134 € à 141 € par personne. Et, en moyenne, le coût pour une entreprise s'élève désormais à 3,4 millions d'euros. 


Les nouvelles possibilités du Service Management, un Livre Blanc easyvista.

La transformation numérique des entreprises offre de nouveaux champs d’actions en matière de services rendus aux utilisateurs et ce afin d’améliorer leur vie quotidienne et leur productivité. 


Infrastructure IT gérée dans le cloud, un Livre Blanc Cisco Meraki et Inmac-WStore.

Ce Livre Blanc traite des tendances informatiques modernes et explique comment les produits Cisco Meraki fonctionnent en synergie pour fournir une solution informatique globale, fiable et complète pour les entreprises.


Comment choisir la solution de surveillance réseau adéquate ?  Un Livre Blanc Paessler.

Pour que son infrastructure informatique lui donne entière satisfaction, toute entreprise doit pouvoir compter sur un réseau haute performance. Pour maintenir la fluidité des procédures, tous les processus doivent fonctionner de manière fluide, y compris les communications internes et externes entre sites de l’entreprise, ainsi qu’avec les clients et partenaires. Les dysfonctionnements et pannes des processus opérationnels provoquent facilement des pertes de temps et surtout d’argent.


Stockage Flash : 1 000 utilisateurs témoignent, un Livre Blanc HPE.

1 000 responsables informatiques ont été interrogés à l'initiative d'HPE afin de relater les "surprises", bonnes et mauvaises qu'ils ont rencontré lors du déploiement puis l'utilisation de solutions de stockage Flash. L'essentiel des configurations et des utilisations ont été passées en revue pour ce qui constitue la plus grande enquête jamais réalisée sur ce thème et qui permet à chacun de préparer au mieux sa propre voie d'évolution, ceci en évitant les écueils qu'ont pu rencontrer les professionnels interrogés. 


Tous les Livres Blancs
Le Kiosque

SMART CITY : de l'IT pour piloter les villes - Maîtrisez Windows 10 CREATORS UPDATE - Mettons les robots dans les nuages ! - Comment le BACKUP se réinvente - Créez un projet ARDUINO avec Circuito - Rencontre avec David Fayon : « Comment la France peut devenir la tête de pont du numérique en Europe »...

 

STOCKAGE CLOUD : un casse-tête pour la DSI ! - Règlement européen RGPD : la parole aux entreprises qui s'y mettent - Microsoft Build : toutes les annonces - Wanacrypt : récit d'une cyberattaque historique - French Tech Brest+ - Nginx, nouveau standard de serveur web - Chatbots : l'interface de demain ?...

 

Afficher tous les derniers numéros
Derniers commentaires
Fil AFP
Techno et Internet
Des salariés de Portugal Telecom manifestent à Lisbonne, le 21 juillet 2017Des milliers de salariés de Portugal Telecom ont participé vendredi à une journée de grève et manifesté à Lisbonne pour protester contre des transferts de postes vers d'autres entités du groupe français Altice, qui a repris l'opérateur historique portugais fin 2014. [Sommaire]

Deutsche Telekom a évalué à environ 2 millions d'euros le coût de l'attaqueUn Britannique jugé en Allemagne pour une vaste attaque informatique qui avait touché en novembre plus d'un million de clients de l'opérateur allemand Deutsche Telekom a reconnu vendredi avoir agi pour le compte d'une société du Liberia. [Sommaire]

L'enceinte de confinement du réacteur 3 de la centrale de Fukushima (nord-est du Japon), le 10 février 2016Un robot a été dépêché cette semaine dans l'enceinte de confinement du réacteur 3 de la centrale saccagée de Fukushima (nord-est du Japon), mais le premier examen n'a pas permis d'apercevoir le combustible fondu, selon l'exploitant. [Sommaire]

Le 1er prototype de train de la société Hyperloop, présenté dans le Nevada le 12 juillet 2017 L'entrepreneur Elon Musk a annoncé jeudi que le projet de train à très grande vitesse qui relierait New York à Washington en 29 minutes seulement a reçu l'accord verbal du gouvernement, se disant "optimiste" quant à un accord formel qui pourrait intervenir "rapidement". [Sommaire]

Le logo de  Microsoft le 30 novembre 2016 à Bellevue, WashingtonLe groupe informatique américain Microsoft a publié des résultats trimestriels en forte hausse jeudi, marqués par une nouvelle progression de ses activités de services dématérialisés en ligne ("Cloud") sur lesquelles il fait désormais reposer son développement. [Sommaire]

Un site internet vendant de la drogue et des armes illégalement, le 30 octobre 2013 à ParisCoup dur pour les trafiquants qui opèrent sur le "Dark web": les polices américaine et européennes ont annoncé jeudi avoir fermé deux importants sites de "l'internet opaque", où s'échangeaient sous le manteau, et en toute discrétion, armes et drogues. [Sommaire]

Le satellite observera des forêts tropicales, comme ici au Guatemala, victime de la sécheresse Un nouvel outil de mesure du réchauffement de la planète entre en piste: Venµs, premier satellite d'observation de la végétation dédié au changement climatique, prendra début août ses quartiers à 720 km au-dessus de la Terre. [Sommaire]

Pékin a ordonné aux géants du web chinois comme Baidu de fermer les sites qui publient des informations politiquement sensiblesPékin a ordonné aux grandes entreprises technologiques chinoises de faire le ménage sur internet en fermant les sites qui publient des informations politiquement sensibles. [Sommaire]

Le duel entre Google et Bruxelles n'est pas prêt de finirLe duel entre Google et la Commission européenne, qui a infligé une amende record fin juin au géant américain pour abus de position dominante, risque de durer encore des années. [Sommaire]

Facebook se prépare à laisser les médias qui proposent du contenu sur sa plateforme limiter le nombre d'articles en libre accès et proposer des abonnementsFacebook se prépare à laisser les médias qui proposent du contenu sur sa plateforme limiter le nombre d'articles en libre accès et proposer des abonnements, à l'instar de ce qu'ils font déjà sur leurs propres sites. [Sommaire]

Toutes les dépêches AFP

AgendaIT

BLACK HAT

Événement majeur mondial sur la sécurité de l'information la conférence Black Hat USA a lieu du 22 au 27 juillet 2017 à Las Vegas (Mandalay Bay). Organisé par UBM.

SALONS SOLUTIONS

Les Salons Solutions - ERP, CRM, BI et Big Data, E-Achats, Demat'Expo, Serveurs & Applications - se tiennent du 26 au 28 septembre 2017 à Paris, Porte de Versailles. Organisés par Infopromotions.

MICROSOFT EXPERIENCES'17

Deux jours de conférences et 10000 m2 d'espaces d'échange pour s'immerger dans les innovations du numérique les 3 et 4 octobre 2017 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Microsoft.

SMART CITY + SMART GRID

Exposition, contérences et ateliers, le salon de la ville et des territoires intelligents, durables et connectés Smart City + Smart Grig se tient les 4 et 5 octobre 2017 à Paris, Porte de Versailles (Pavillon 2.2). Organisé par Infopromotions.

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 11 au 14 octobre 2017. Organisées par DG Consultants.

MOBILITY FOR BUSINESS

7ème édition de Mobility for Business, le salon des solutions mobiles pour une meilleure transformation digitale des entreprises, les 17 et 18 octobre 2017 à Paris Porte de Versailles (Hall 5.1). Organisé par Infopromotions.
L'OVH Summit, l'événement IT du leader européen du cloud, tient sa 5ème édition le 17 octobre 2017 au Paris Event Center (Paris 19ème). Organisé par OVH.
Voir tout l'AgendaIT