Vigil@nce - IIS FTP : deux vulnérabilités
novembre 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer deux vulnérabilités du service FTP de
IIS, afin d’obtenir des informations.
Produits concernés : IIS, Windows 2008, Windows 7, Windows Vista
Gravité : 2/4
Date création : 14/11/2012
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit IIS fournit un service FTP. Cependant, deux
vulnérabilités impactent ce service.
Un attaquant local peut lire le fichier de log, afin d’y trouver
les mots de passe des utilisateurs du service FTP. [grav:2/4 ;
BID-56439, CVE-2012-2531]
Lorsque le serveur FTP refuse l’authentification anonyme, et
utilise TLS, un attaquant peut envoyer certaines commandes FTP,
afin d’obtenir des informations. [grav:2/4 ; BID-56440,
CVE-2012-2532]
Un attaquant peut donc employer deux vulnérabilités du service FTP
de IIS, afin d’obtenir des informations.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/IIS-FTP-deux-vulnerabilites-12143