Patch de vulnérabilité de Microsoft IIS5 "Session ID Cookie Marking" Éliminez une vulnérabilité de sécurité dans Microsoft Internet Information Server.
Télécharger maintenant

Patch de vulnérabilité de Microsoft IIS5 "Session ID Cookie Marking" Classement & Résumé

Patch de vulnérabilité de Microsoft IIS5 "Session ID Cookie Marking" Mots clés

la vulnérabilité du serveur Serveur d'informations Internet

Patch de vulnérabilité de Microsoft IIS5 "Session ID Cookie Marking" La description

Depuis Microsoft: Ce correctif élimine une vulnérabilité de sécurité dans Microsoft Internet Informations Server qui permettrait à un utilisateur malveillant de détourner la session Web sécurisée d'un autre utilisateur sous un ensemble de circonstances très restreint.IIS prend en charge l'utilisation d'un cookie d'identification de session pour suivre l'identifiant de session actuel. pour une session Web. Toutefois, ASP IN IIS ne prend pas en charge la création de cookies d'identification de session sécurisée tels que définis dans RFC 2109. En conséquence, des pages sécurisées et non sécurisées sur le même site Web utilisent le même identifiant de session. Si un utilisateur a initié une session avec une page Web sécurisée, un cookie d'identification de session serait généré et envoyé à l'utilisateur, protégé par SSL. Mais si l'utilisateur a ensuite visité une page non sécurisée sur le même site, le même cookie ID de session serait échangé cette fois en clair. Si un utilisateur malveillant avait un contrôle complet sur la chaîne de communication, il pourrait lire le cookie d'identification de la session en plainte et l'utiliser pour se connecter à la session de l'utilisateur avec la page sécurisée. À ce stade, il pourrait prendre des mesures sur la page sécurisée que l'utilisateur pouvait prendre. Les conditions dans lesquelles cette vulnérabilité pourrait être exploitée sont plutôt décourageuses. L'utilisateur malveillant devrait avoir un contrôle complet sur les communications de l'autre utilisateur avec le site Web. Même dans ce cas, l'utilisateur malveillant n'a pas pu rendre la connexion initiale à la page sécurisée; seul l'utilisateur légitime pourrait le faire. Le correctif élimine la vulnérabilité en ajoutant une prise en charge des cookies Secure Session ID dans les pages ASP. (Les cookies sécurisés sont déjà pris en charge pour tous les autres types de cookies, sous toutes les autres technologies de l'IIS). Lisez la FAQ pour plus d'informations.

Patch de vulnérabilité de Microsoft IIS5 "Session ID Cookie Marking" Logiciels associés