Bulletin de sécurité Microsoft MS07-018

Des vulnérabilités dans Microsoft Content Management Server pourraient permettre l'exécution de code à distance (925939)

Paru le 10 avril 2007 | Dernière mise à jour le 12 juin 2007

Version : 2.0

Synthèse

Personnes concernées par ce document : Les clients qui utilisent Microsoft Content Management Server

Type de vulnérabilité : Exécution de code à distance

Indice de gravité maximal : Critique

Recommandation : Nos clients doivent appliquer cette mise à jour immédiatement

Remplacement de mises à jour de sécurité : Aucun.

Avertissements : L'Article 924429 de la Base de connaissances Microsoft évoque les problèmes connus auxquels les clients peuvent être confrontés lors de l'installation de cette mise à jour de sécurité. Cet article documente également les solutions palliatives recommandées. Pour plus d’informations, consultez l’Article 924429 de la Base de connaissances Microsoft.

Logiciels testés et adresses de téléchargement des mises à jour :

Logiciels concernés :

•	Microsoft Content Management Server 2001 Service Pack 1 — Télécharger la mise à jour (KB924430)
•	Microsoft Content Management Server 2002 Service Pack 2 — Télécharger la mise à jour (KB924429)

Les logiciels de cette liste ont été testés afin de déterminer si ces versions sont concernées. D'autres versions ne prennent plus en charge les mises à jour de sécurité ou ne sont pas affectées. Consultez le site Web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre produit et votre version.

Top of section

Informations générales

Synthèse

Synthèse :

Cette mise à jour corrige deux vulnérabilités récemment découvertes et signalées confidentiellement. Chaque vulnérabilité est décrite en détail dans la section "Précisions sur la vulnérabilité", plus loin dans ce bulletin.

Par conséquent, nous recommandons d'appliquer la mise à jour immédiatement.

Indices de gravité et identificateurs de vulnérabilité :

Identificateurs de vulnérabilité	Type de vulnérabilité	Microsoft Content Management Server 2001 Service Pack 1	Microsoft Content Management Server 2002 Service Pack 2
Vulnérabilité de corruption de la mémoire dans Microsoft Content Management Server (CMS) - CVE-2007-0938	Exécution de code à distance	Critique	Critique
Vulnérabilité d'usurpation de contenu et de script inter-sites (cross-site scripting) dans Microsoft Content Management Server (CMS) - CVE-2007-0939	Divulgation d'informations et usurpation de contenu	Important	Important
Gravité cumulée de toutes ces vulnérabilités		Critique	Critique

Cette évaluation se fonde sur les types de systèmes concernés par cette vulnérabilité, leurs schémas de déploiement classiques et l’impact que l’exploitation de la vulnérabilité aurait sur ces systèmes.

Top of section

Forum aux questions concernant la présente mise à jour de sécurité

Pourquoi ce bulletin a-t-il été réédité par Microsoft le 12 juin 2007 ?
Ce bulletin a été réédité afin de corriger les problèmes identifiés dans l'Article 924429 de la Base de connaissances Microsoft. Précédemment, cette mise à jour de sécurité n'incluait pas les installations de CMS 2002 effectuées à un emplacement autre que l'emplacement par défaut. Les clients ayant installé la version originale de la mise à jour de sécurité devront suivre les instructions de l'Article 924429 de la base de connaissances Microsoft afin de retrouver les fonctionnalités normales.

Quelles mises à jour ce correctif remplace-t-il ?
Cette mise à jour ne remplace aucune mise à jour de sécurité antérieure. Si vous exécutez Content Management Server 2001, nous vous recommandons d'installer MS03-002 avant d'installer cette mise à jour.

Puis-je utiliser MBSA (Microsoft Baseline Security Analyzer) pour déterminer si cette mise à jour est nécessaire ?
Le tableau suivant fournit le résumé de détection MBSA pour cette mise à jour de sécurité.

Produit	MBSA 1.2.1	MBSA 2.0.1
Microsoft Content Management Server 2001 Service Pack 1	Oui	Non
Microsoft Content Management Server 2002 Service Pack 2	Oui	Oui

Remarque : MBSA 1.2.1 utilise une version intégrée de l'outil de détection de Microsoft Office (Office Detection Tool - ODT) qui ne prend pas en charge les analyses distantes de cette mise à jour de sécurité. Pour plus d'informations sur MBSA, visitez le site Web MBSA.

Pour plus d'informations sur MBSA, visitez le site Web MBSA. Pour plus d'informations sur les logiciels que Microsoft Update et MBSA 2.0.1 ne détectent pas actuellement, consultez l'Article 895660 de la Base de connaissances Microsoft.

Pour plus d’informations, consultez l’Article 910723 de la Base de connaissances Microsoft : Récapitulatif des articles mensuels sur les instructions de détection et de déploiement

Puis-je utiliser SMS (Systems Management Server) pour déterminer si cette mise à jour est nécessaire ?
Le tableau récapitule les conditions de détection SMS pour cette mise à jour de sécurité.

Produit	SMS 2.0	SMS 2003
Microsoft Content Management Server 2001 Service Pack 1	Oui	Non
Microsoft Content Management Server 2002 Service Pack 2	Oui	Oui

Le Feature Pack Software Update Services (SUS) SMS 2.0 et SMS 2003 peut utiliser MBSA 1.2.1 pour la détection et présente donc la même restriction que celle énoncée plus haut dans ce bulletin concernant les programmes non détectés par MBSA 1.2.1.

Pour SMS 2.0, le Feature Pack SUS de SMS, qui inclut l'outil d'inventaire des mises à jour, peut être utilisé par SMS pour détecter des mises à jour de sécurité. SMS SUIT utilise le moteur MBSA 1.2.1 pour procéder à la détection. Pour plus d’informations sur l'outil d'inventaire des mises à jour, consultez le site Web Microsoft suivant. Pour plus d'informations concernant les restrictions de l'outil d'inventaire des mises à jour, consultez l'Article 306460 de la Base de connaissances Microsoft. Le Feature Pack SUS de SMS inclut également l'outil d'inventaire des mises à jour de Microsoft Office pour détecter les mises à jour des applications Microsoft Office.

SMS 2003 peut utiliser l'outil d'inventaire SMS 2003 pour les mises à jour Microsoft (SMS 2003 Inventory Tool for Microsoft Updates - ITMU) afin de détecter les mises à jour de sécurité proposées par Microsoft Update et prises en charge par Windows Server Update Services. Pour plus d'informations sur l'outil d'inventaire SMS 2003 pour les mises à jour Microsoft, consultez le site Web Microsoft suivant. SMS 2003 peut également utiliser l'Outil d'inventaire des mises à jour de Microsoft Office pour détecter les mises à jour des applications Microsoft Office.

Pour plus d'informations sur SMS, consultez le site Web SMS.

Pour plus d’informations, consultez l’Article 910723 de la Base de connaissances Microsoft : Récapitulatif des articles mensuels sur les instructions de détection et de déploiement

Top of section

Précisions sur la vulnérabilité

Vulnérabilité de corruption de la mémoire dans Microsoft Content Management Server (CMS) - CVE-2007-0938 :

Une vulnérabilité d'exécution de code à distance existe dans Content Management Server, due à son mode de gestion des requêtes HTTP.

Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Facteurs atténuants concernant la vulnérabilité de corruption de la mémoire dans Microsoft Content Management Server (CMS) - CVE-2007-0938 :

•	Dans Microsoft Internet Information Services 6.0, le processus de travail W3WP.exe est par défaut un processus à faible privilège s'exécutant en tant que Compte de service réseau. Remarque : Ceci s'applique uniquement à Content Management Server 2002.
•	Les clients qui ont configuré les sites Web Microsoft Content Management Server (MCMS) dans leurs propres pools d'applications pour les isoler des autres sites Web pourraient limiter l'impact d'une attaque.

Top of section

Solutions de contournement concernant la vulnérabilité de corruption de la mémoire dans Microsoft Content Management Server (CMS) - CVE-2007-0938 :

Nous n'avons identifié aucune solution de contournement pour cette vulnérabilité.

Top of section

Forum aux questions sur la vulnérabilité de corruption de la mémoire dans Microsoft Content Management Server (CMS) - CVE-2007-0938 :

Quelle est la portée de cette vulnérabilité ?
Une vulnérabilité d'exécution de code à distance existe dans Content Management Server, due à son mode de gestion des requêtes HTTP. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Quelle est la cause de cette vulnérabilité ?
La vulnérabilité d'exécution de code à distance dans Microsoft Content Management Server est due à son mode de gestion des caractères inattendus dans une requête HTTP.

Qu'est-ce que Microsoft Content Management Server ?
Microsoft Content Management Server (MCMS) permet aux clients de construire, de déployer et de gérer des sites Web. MCMS permet aux clients de créer, publier et gérer des contenus Web, ainsi que gérer les ressources serveur disponibles pour le site.

J'exécute Microsoft Content Management Server 2001 et j'ai personnalisé le fichier ManualLogin.asp. Dois-je faire quelque chose ?
Cette mise à jour de sécurité ne met pas à jour ManualLogin.asp. Toutes les personnalisations apportées à cette page resteront donc présentes après l'application de cette mise à jour. Nous recommandons néanmoins de sauvegarder les pages ASP personnalisées avant de procéder à la maintenance d'un site Web.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.

Comment un attaquant peut-il exploiter cette vulnérabilité ?
Un attaquant pourrait tenter d'exploiter cette vulnérabilité en créant une URL spécialement conçue et en envoyant une requête HTTP GET à un système CMS.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Les sites Web gérés à l'aide d'une version affectée de Microsoft Content Management Server.

Que fait cette mise à jour ?
Cette mise à jour supprime cette vulnérabilité en modifiant la façon dont Content Management Server valide les requêtes HTTP.

Lors de la parution de ce bulletin de sécurité, Microsoft avait-il été informé d’une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée pour attaquer des clients, et n’avait pas la connaissance de la publication d’un tel code.

Top of section

Vulnérabilité d'usurpation de contenu et de script inter-sites (cross-site scripting) dans Microsoft Content Management Server (CMS) - CVE-2007-0939 :

Il existe dans Microsoft Content Management Server (MCMS) une vulnérabilité d'usurpation de contenu et de script inter-sites (cross-site scripting) qui pourrait permettre à un attaquant d'inciter un utilisateur à exécuter un script malveillant. Si ce script malveillant est exécuté, il est exécuté dans le contexte de sécurité de cet utilisateur. Les tentatives d'exploitation de cette vulnérabilité nécessitent une interaction avec l'utilisateur. Cette vulnérabilité pourrait permettre à un attaquant d'accéder à toute donnée auquel l'utilisateur a accès sur les systèmes affectés.

Elle pourrait également lui permettre de modifier les caches du navigateur Web et ceux du serveur proxy intermédiaire et d'y introduire du contenu usurpé.

Facteurs atténuants concernant la vulnérabilité d'usurpation de contenu et de script inter-sites (cross-site scripting) dans Content Management Server (CMS) - CVE-2007-0939 :

•	La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur clique sur un lien Internet faisant partie du message.
•	Pour qu'une attaque aboutisse, il faudrait que l'utilisateur contraint par l'attaquant à cliquer sur le lien spécialement conçu ait accès au serveur Web CMS.
•	Un attaquant réussissant à exploiter cette faille pourrait s'arroger les mêmes permissions que l'utilisateur.
•	Les clients qui ont activé l’option Internet avancée d'Internet Explorer « Ne pas enregistrer les pages chiffrées sur le disque » ne risquent pas d’introduction de contenu usurpé dans le cache du client, s’ils ont accédé à leur site Web via le protocole SSL (Secure Sockets Layer).
•	Les clients qui utilisent des connexions protégées par SSL pour accéder aux sites Web affectés ne sont pas vulnérables aux tentatives d’introduction de contenu usurpé dans les caches de serveurs proxy intermédiaires. En effet, les données des sessions SSL sont chiffrées et ne sont pas mises en cache sur les serveurs proxy intermédiaires.
•	Si l’attaquant parvenait à introduire un contenu usurpé dans le cache d’un serveur proxy intermédiaire, il lui serait difficile de prévoir quels utilisateurs pourraient recevoir ce contenu usurpé.

Top of section

Solutions de contournement concernant la vulnérabilité d'usurpation de contenu et de script inter-sites (cross-site scripting) dans Content Management Server (CMS) - CVE-2007-0939 :

Microsoft a testé la solution de contournement ci-dessous. Elle ne corrige pas la vulnérabilité sous-jacente, mais elle permet de bloquer les vecteurs d'attaque connus. Lorsqu'une solution de contournement réduit une fonctionnalité, elle est identifiée dans la section suivante :

•

La définition d'un site MCMS en lecture seule permet de désactiver la création de contenu et l'accès à ce point d'entrée du serveur MCMS depuis Site Manager

Paramétrer le site MCMS sur Oui - Lecture seule permet de désactiver la création de contenu et l'accès à ce point d'entrée du serveur MCMS depuis Site Manager, mais n'entraîne pas la suppression des fichiers présents dans le système. Si vous voulez utiliser l'outil Site Manager pour modifier des paramètres sur un site MCMS en lecture seule, vous devez d'abord définir ce site en lecture-écriture dans l'outil de configuration du serveur Web.
La définition d'un site MCMS en lecture seule signifie que vous ne pouvez pas utiliser l'API de déploiement de site (site deployment API - SDAPI) côté client (ou Site Manager) pour déployer du contenu. Sur un site en lecture seule uniquement, vous devez utiliser les scripts de l'API de déploiement de site côté serveur (site deployment API - SDAPI) pour déployer du contenu, à moins que vous ne disposiez d'un point d'entrée Web distinct en lecture-écriture.

Pour paramétrer le site MCMS en lecture seule, procédez comme suit :

1.	Cliquez sur Démarrer, sur Programmes, puis sélectionnez Microsoft Content Management Server.
2.	Cliquez sur Server Configuration Application.
3.	Cliquez sur l'onglet Web et sélectionnez Configurer.
4.	Dans la boîte de dialogue relative au site Web MCMS que vous souhaitez configurer, sélectionnez Oui - Lecture seule.
5.	Cliquez sur OK pour enregistrer les modifications.

Impact de cette solution de contournement : Les utilisateurs ne seront plus en mesure de créer du contenu via MCMS Web Author (impossibilité de se connecter à un serveur MCMS avec des droits d'écriture) ou via Site Manager.

Top of section

Forum aux questions sur la vulnérabilité d'usurpation de contenu et de script inter-sites (cross-site scripting) dans Content Management Server (CMS) - CVE-2007-0939 :

Quelle est la portée de cette vulnérabilité ?
Il existe dans Microsoft Content Management Server (MCMS) une vulnérabilité d'usurpation de contenu et de script inter-sites (cross-site scripting). Cette vulnérabilité pourrait permettre l'injection de script côté client dans le navigateur de l'utilisateur. Dans le cas d'une attaque Web, un site Web compromis pourrait accepter ou héberger des contenus ou des annonces provenant d'utilisateurs spécialement conçus afin d'exploiter cette vulnérabilité.

Ce script pourrait exécuter au nom de l’utilisateur toute action que le site Web est autorisé à exécuter : surveiller la session Web, transférer des informations à un tiers, exécuter un autre code sur le système de l’utilisateur et lire ou écrire des cookies, par exemple.

Quelle est la cause de cette vulnérabilité ?
Cette vulnérabilité de script inter-sites (XSS ou cross-site scripting) est due à une validation insuffisante des données fournies dans une requête de redirection HTML avant leur envoi vers le navigateur.

Qu'est-ce qu'une attaque par script inter-sites (cross-site scripting) ?
Une attaque par script inter-sites (XSS - cross-site scripting) consiste à "injecter" un script dans une session utilisateur via un site Web. La vulnérabilité peut affecter les serveurs Web qui génèrent des pages HTML de façon dynamique. Si ces serveurs intègrent des entrées provenant du navigateur dans les pages dynamiques qu'ils renvoient, celles-ci peuvent être manipulées pour inclure du contenu malveillant. Un script malveillant pourra ainsi être exécuté. Les navigateurs Web pourraient perpétuer ce problème dans la mesure où ils accèdent à des sites « de confiance » et ont recours à des cookies pour maintenir un état persistant dans les sites Web qu'ils fréquentent. Une attaque par script inter-sites (cross-site scripting) ne modifie pas le contenu du site Web. Il insère le nouveau script malveillant qui peut s'exécuter au niveau du navigateur dans le contexte associé à un serveur de confiance.

Comment fonctionne le script entre sites (cross-site scripting) ?
Les pages Web contiennent du texte et des balises HTML. Le texte et les balises HTML sont générés par le serveur et interprétés par le client. Si un contenu non approuvé est introduit dans une page dynamique, ni le serveur ni le client ne détiennent suffisamment d’informations pour le détecter et prendre des mesures de protection.

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait injecter un script côté client qui serait exécuté par le navigateur de l'utilisateur. Le script pourrait usurper du contenu, divulguer des informations ou entreprendre toute action autorisée pour cet utilisateur sur le site Web affecté. Les tentatives d'exploitation de cette vulnérabilité nécessitent une interaction avec l'utilisateur. Il serait également possible d'exploiter cette vulnérabilité pour modifier les caches du navigateur Web et ceux du serveur proxy intermédiaire, afin d'y introduire du contenu usurpé.

Comment un attaquant peut-il exploiter cette vulnérabilité ?
En cas d'attaque par e-mail, un attaquant pourrait exploiter cette vulnérabilité en envoyant un message électronique spécialement conçu. L'attaquant pourrait alors persuader l'utilisateur de cliquer sur un lien contenu dans ce message électronique.

Pour une attaque Web, sur un site Web compromis, un attaquant pourrait injecter un script qui serait exécuté par le navigateur de l'utilisateur. Le script pourrait usurper du contenu, divulguer des informations ou entreprendre toute action autorisée pour cet utilisateur sur le site Web affecté. Les tentatives d'exploitation de cette vulnérabilité nécessitent une interaction avec l'utilisateur.

Il serait également possible d'exploiter cette vulnérabilité pour modifier les caches du navigateur Web et ceux du serveur proxy intermédiaire, afin d'y introduire du contenu usurpé.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Les sites Web gérés à l'aide d'une version affectée de Microsoft Content Management Server.

Cette vulnérabilité peut-elle être exploitée sur Internet ?
Oui. Un attaquant pourrait tenter d’exploiter cette vulnérabilité sur Internet. Pour pouvoir lancer une attaque, un attaquant devrait connaître le nom complet du serveur CMS ciblé.

Que fait cette mise à jour ?
Cette mise à jour supprime cette vulnérabilité en modifiant la façon dont Content Management Server valide les requêtes de redirection HTTP.

Lors de la parution de ce bulletin de sécurité, cette vulnérabilité avait-elle été dévoilée ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation responsable. Lors de la première publication de ce bulletin, Microsoft n’avait reçu aucune information faisant état d'une divulgation publique de cette vulnérabilité. Ce bulletin de sécurité résout la vulnérabilité révélée confidentiellement, ainsi que les autres problèmes apparus lors des analyses menées en interne.

Top of section

Informations sur la mise à jour de sécurité

Logiciels concernés :

Pour obtenir des informations sur la mise à jour de sécurité spécifique aux Logiciels concernés, reportez-vous à la section appropriée :

Content Management Server

Conditions requises et informations de mise à jour complémentaires

Important : Avant d'installer cette mise à jour, assurez-vous que les conditions suivantes sont bien satisfaites :

•	L'installation de cette mise à jour requiert l'installation de Content Management Server 2001 Service Pack 1. Avant d'installer cette mise à jour, installez Content Management Server 2001 Service Pack 1.
•	L'installation de cette mise à jour requiert l'installation de Content Management Server 2002 Service Pack 2. Avant d'installer cette mise à jour, installez Content Management Server 2002 Service Pack 2.
•	Nous recommandons aux utilisateurs de Content Management Server 2001 Service Pack 1 d'installer MS03-002 avant d'installer cette mise à jour.

Inclusion dans les futurs Service Packs :

Aucun autre Service Pack n'est prévu pour Content Management Server 2001 ou Content Management Server 2002 ; le Service Pack 2 est le dernier Service Pack.

Nécessité de redémarrer

Pour éviter la nécessité d'un redémarrage, arrêtez tous les services affectés et fermez toutes les applications susceptibles d'utiliser les fichiers affectés avant d'installer la mise à jour de sécurité. Pour plus d'informations sur les raisons pouvant justifier un redémarrage, consultez l'article 887012 de la Base de connaissances Microsoft.

Informations de désinstallation

Après installation de cette mise à jour, vous ne pouvez plus la désinstaller. Pour restaurer une installation à son état antérieur à la mise à jour, vous devez supprimer l’application puis la réinstaller à partir de son CD-ROM d’origine.

Top of section

Informations sur l'installation automatique

Site Web Microsoft Update

Cette mise à jour sera disponible sur le site Web Microsoft Update. Microsoft Update rassemble les mises à jour fournies par Windows Update et Office Update en un seul endroit et vous permet de choisir le téléchargement et l'installation automatiques des mises à jour prioritaires. Nous vous recommandons d'installer cette mise à jour via le site Web Microsoft Update. Le site Web Microsoft Update détecte les particularités de votre installation et vous invite à installer exactement ce dont vous avez besoin afin de vous assurer que votre installation est parfaitement à jour.

Pour faire en sorte que le site Web Microsoft Update détecte les mises à jour devant être installées sur votre ordinateur, rendez-vous sur le site Web Microsoft Update. Vous aurez à choisir entre Rapide (recommandé) ou Personnalisée. Une fois la détection terminée, vous recevrez une liste des mises à jour recommandées pour approbation. Cliquez sur Installer les mises à jour ou Vérifier et installer les mises à jour pour compléter la procédure.

Top of section

Informations concernant l’installation :

Si vous avez installé votre application depuis un emplacement sur un serveur, l'administrateur du serveur doit mettre à jour cet emplacement avec la mise à jour administrative et déployer cette mise à jour sur votre ordinateur.

Informations concernant l’installation :

Les options de configuration suivantes concernent les installations administratives. Elles permettent aux administrateurs de personnaliser la manière dont les fichiers sont extraits à partir de la mise à jour de sécurité.

Cette mise à jour de sécurité prend en charge les options d’installation suivantes pour Content Management Server 2001 Service Pack 1 :

Options d'installation de la mise à jour de sécurité prises en charge
Option	Description
/q	Indique le mode silencieux ou supprime les messages lors de l’extraction des fichiers.

Cette mise à jour de sécurité prend en charge les options d’installation suivantes pour Content Management Server 2002 Service Pack 1 :

Options d'installation de la mise à jour de sécurité prises en charge
Option	Description
/q	Indique le mode silencieux ou supprime les messages lors de l’extraction des fichiers.
/q:u	Indique le mode silencieux utilisateur, qui affiche quelques boîtes de dialogue.
/q:a	Indique le mode silencieux administrateur, qui n’affiche aucune boîte de dialogue.
/t:path	Indique le dossier cible dans lequel les fichiers sont extraits.
/c	Extrait les fichiers sans exécuter le programme d’installation. Si /t:path n’est pas spécifié, le programme demande le nom du dossier cible.
/c:path	Remplace la commande d'installation définie par l’auteur. Indique le chemin d’accès et le nom du fichier .inf ou .exe d’installation.
/r:n	Ne redémarre pas l’ordinateur après l’installation.
/r:I	Demande à l’utilisateur de redémarrer l’ordinateur si cela est requis, sauf lorsque cette option est utilisée en conjonction avec /q:a.
/r:a	Redémarre toujours l’ordinateur après l’installation.
/r:s	Redémarre l’ordinateur après l’installation sans le demander à l’utilisateur.
/n:v	Aucune vérification de version - Le programme est installé sur n’importe quelle version antérieure.

Remarque : Ces options ne fonctionnent pas nécessairement avec toutes les mises à jour. Si une option n’est pas disponible, cela signifie que la fonctionnalité est nécessaire à l’installation de la mise à jour. En outre, l'utilisation de l'option /n:v n'est pas prise en charge et peut rendre le système incapable de s’amorcer. Si l’installation ne réussit pas, vous devez contacter votre support technique afin de comprendre la raison de cet échec.

Pour plus d'informations sur les options d'installation prises en charge, consultez l'article 197147 de la Base de connaissances Microsoft.

Informations sur le déploiement

1.	Télécharger cette mise à jour de sécurité pour Content Management Server 2001 Service Pack 1 ou Content Management Server 2002 Service Pack 2.
2.	Cliquez sur Enregistrer ce programme sur le disque, puis sur OK.
3.	Cliquez sur Enregistrer.
4.	Dans l'Explorateur Windows, recherchez le dossier qui contient le fichier enregistré puis double-cliquez sur ce fichier.
5.	Si vous êtes invité à installer la mise à jour, cliquez sur Oui.
6.	Cliquez sur Oui pour accepter l'accord de licence.
7.	Insérez votre CD-ROM source original quand vous y êtes invité, puis cliquez sur OK.
8.	Lorsque vous recevez un message indiquant que l'installation a réussi, cliquez sur OK.

Informations sur les fichiers d'installation

La version anglaise de cette mise à jour possède les attributs de fichiers répertoriés dans le tableau ci-dessous. Les dates et heures de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties en heure locale. Pour connaître le décalage entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire de l’outil Date et heure du Panneau de configuration.

Content Management Server 2001 Service Pack 1 :

Nom de fichier	Version	Date	Heure	Processeur
Aesecurityclient.dll	4.10.1157.0	09-nov-2006	00:30	124,704
Aesecurityservice.exe	4.10.1157.0	09-nov-2006	00:30	154,400
Aeserverobject.dll	4.10.1157.0	09-nov-2006	00:30	1,157,400
Ncaspextensions.dll	4.10.1157.0	09-nov-2006	00:30	117,536
Nrmsgres.dll	4.10.1157.0	09-nov-2006	00:30	160,016
Reauthfilt.dll	4.10.1157.0	09-nov-2006	00:30	50,448
Resolutionobjectmodel.dll	4.10.1157.0	09-nov-2006	00:30	1,133,352
Serverconfigurationapi.dll	4.10.1157.0	09-nov-2006	00:30	641,320

Content Management Server 2002 Service Pack 2 :

Nom de fichier	Version	Date	Heure	Processeur
Activexediting.vbs		30-jan-2007	20:47	17,857
Aejavaproxy.dll	5.0.4484.0	24-oct-2003	10:33	1,994,752
Aeserverobject.dll	5.0.5317.0	30-jan-2007	21:14	1,193,472
Authformclientie.js		30-jan-2007	20:47	7,422
Cms2002.xml		26-fév-2007	21:39	7,972
Console.js		30-jan-2007	20:47	9,501
Emitterthineditie_activex.inc		30-jan-2007	23:05	24,371
Hlink.js		30-jan-2007	20:47	5,204
Microsoft.contentmanagement.common.dll	5.0.5317.0	30-jan-2007	21:13	57,344
Microsoft.contentmanagement.developertools.visualstudio.dll	5.0.5317.0	30-jan-2007	21:17	126,976
Microsoft.contentmanagement.webauthor.dll	5.0.5317.0	30-jan-2007	21:15	397,312
Microsoft.contentmanagement.webcontrols.dll	5.0.5317.0	30-jan-2007	21:15	204,800
Ncaspextensions.dll	5.0.5317.0	30-jan-2007	21:13	164,864
Ncbmprdr.dll	5.0.5317.0	30-jan-2007	21:13	149,504
Nrdcapplication.exe	5.0.0.5317	30-jan-2007	21:18	2,240,608
Nrdhtml.cab		30-jan-2007	21:30	233,743
Nrsitedeployclient.dll	5.0.5317.0	30-jan-2007	21:15	588,800
Nrsitedeployserver.dll	5.0.5317.0	30-jan-2007	21:15	2,051,072
Resolutionobjectmodel.dll	5.0.5317.0	30-jan-2007	21:14	1,485,312

Vérification de l'application de la mise à jour

•

Microsoft Baseline Security Analyzer

Pour vérifier qu’une mise à jour de sécurité a bien été appliquée sur un système affecté, utilisez l’outil Microsoft Baseline Security Analyzer (MBSA). Consultez la question suivante, 'Puis-je utiliser MBSA (Microsoft Baseline Security Analyzer) pour déterminer si cette mise à jour est nécessaire ?", dans la section Forum aux questions concernant la présente mise à jour de sécurité, située plus haut dans ce bulletin.

•

Vérification de la version de fichier

Remarque : La procédure suivante peut varier en fonction de la version de Microsoft Windows installée sur votre ordinateur. Reportez-vous à votre documentation pour suivre la procédure.

1.	Cliquez sur Démarrer, puis sur Rechercher.
2.	Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et tous les dossiers, sous Assistant Recherche.
3.	Dans la zone Une partie ou l'ensemble du nom de fichier, saisissez un nom de fichier que vous aurez trouvé dans la table d'informations sur les fichiers appropriés, puis cliquez sur Rechercher.
4.	Dans la liste de fichiers, cliquez avec le bouton droit sur un nom de fichier en provenance de la table d'informations sur les fichiers, puis cliquez sur Propriétés. Remarque : Selon la version installée du système d'exploitation ou des programmes, il se peut que certains des fichiers énumérés dans la table d'informations sur les fichiers ne soient pas installés.
5.	Dans l’onglet Version, déterminez la version du fichier installée sur votre ordinateur et comparez-la à la version documentée dans la table d’informations sur les fichiers appropriée. Remarque : Les attributs autres que la version de fichier peuvent changer en cours d'installation. La comparaison d'autres attributs de fichiers avec les données de la table d'informations sur les fichiers ne constitue pas une méthode valable pour vérifier si la mise à jour a bien été appliquée. D'autre part, dans certains cas, il se peut que les fichiers soient renommés au cours de l'installation. Si les informations concernant le fichier ou la version n'existent pas, ayez recours à l'une des autres méthodes permettant de vérifier l'installation de la mise à jour.

Top of section

Remerciements

Microsoft remercie les organismes ci-dessous pour avoir contribué à la protection de ses clients :

•	Martyn Tovey de Netcraft pour avoir signalé la vulnérabilité d'usurpation de contenu et de script inter-sites (cross-site scripting) dans Content Management Server (CMS) – (CVE-2007-0939)

Pour obtenir d’autres mises à jour de sécurité :

Les mises à jour relatives à d'autres problèmes de sécurité sont disponibles aux adresses suivantes :

•	Les mises à jour de sécurité sont disponibles sur le Centre de téléchargement Microsoft. La méthode la plus simple est celle qui consiste à effectuer une recherche sur le mot-clé "security_patch".
•	Les mises à jour pour plates-formes grand public sont disponibles sur le site Web Microsoft Update.

Support technique :

•	En cas de problème, contactez les services de support technique de Microsoft. Les appels au Support technique concernant les mises à jour de sécurité ne sont pas facturés par Microsoft.
•	Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Le support technique ayant trait aux mises à jour de sécurité n'est pas facturé par Microsoft. Pour savoir comment contacter le Support Microsoft, consultez le site International Support.

Ressources de sécurité :

•	Le site Web Espace Sécurité TechNet fournit d'autres informations sur la sécurité dans les produits Microsoft.
•	TechNet Update Management Center
•	Microsoft Software Update Services
•	Microsoft Windows Server Update Services
•	Microsoft Baseline Security Analyzer (MBSA)
•	Windows Update
•	Microsoft Update
•	Catalogue Windows Update : Pour plus d'informations sur le Catalogue Windows Update, consultez l'Article 323166 de la Base de connaissances Microsoft.
•	Office Update

Software Update Services :

Microsoft Software Update Services (SUS) permet aux administrateurs de déployer de façon rapide et fiable les dernières mises à jour critiques et les mises à jour de sécurité vers les serveurs Windows 2000 et Windows Server 2003, ainsi que vers les systèmes de bureau exécutant Windows 2000 Professionnel ou Windows XP Professionnel.

Pour plus d'informations sur le déploiement des mises à jour de sécurité avec Software Update Services, consultez le site Web Software Update Services.

Windows Server Update Services :

Windows Server Update Services (WSUS) permet aux administrateurs de déployer de façon rapide et fiable les dernières mises à jour critiques et les mises à jour de sécurité pour les systèmes d'exploitation Windows 2000 et versions ultérieures, Office XP et versions ultérieures, Exchange Server 2003 et SQL Server 2000 sur Windows 2000 et versions ultérieures.

Pour plus d'informations sur le déploiement des mises à jour de sécurité avec Windows Server Update Services, consultez le site Web Windows Server Update Services.

Systems Management Server :

Microsoft Systems Management Server (SMS) propose une solution d'entreprise pleinement configurable pour la gestion des mises à jour. Avec SMS, les administrateurs peuvent identifier les systèmes Windows qui ont besoin d'une mise à jour de sécurité et exécuter le déploiement contrôlé de ces mises à jour dans l'ensemble de l'entreprise en dérangeant le moins possible les utilisateurs. Pour plus d'informations sur la façon dont les administrateurs peuvent utiliser SMS 2003 pour déployer les mises à jour de sécurité, consultez le site Web Gestion des correctifs de sécurité SMS 2003. Les utilisateurs SMS 2.0 peuvent aussi recourir au Feature Pack Software Updates Service pour faciliter le déploiement de leurs mises à jour de sécurité. Pour plus d'informations sur SMS, consultez le site Web SMS.

Remarque : SMS utilise Microsoft Baseline Security Analyzer, l’Outil de détection de Microsoft Office (Office Detection Tool - ODT) et l'Outil d'analyse des mises à jour pour entreprise pour offrir une assistance étendue à la détection et au déploiement des correctifs proposés dans les bulletins de sécurité. Il se peut que certaines mises à jour logicielles ne soient pas détectées par ces outils. Dans ce cas, il est possible d'utiliser les capacités d'inventaire de SMS pour cibler les mises à jour vers des ordinateurs spécifiques. Pour plus d'informations sur cette procédure, consultez le site Web suivant. Certaines mises à jour de sécurité peuvent requérir des privilèges d'administrateur après redémarrage du système. Pour installer ces mises à jour, les administrateurs peuvent utiliser l’outil de déploiement avec élévation des droits (disponible dans le Feature Pack d'administration SMS 2003 et dans le Feature Pack d'administration 2.0).

Dédit de responsabilité :

Les informations contenues dans la Base de connaissances Microsoft sont fournies "en l'état", sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions :

•	V1.0 (10 avril 2007) : Bulletin publié.
•	V1.1 (1 mai 2007) : Bulletin mis à jour. Section « Avertissements » mise à jour pour indiquer l'Article 9924429 de la Base de connaissances Microsoft décrivant les problèmes connus liés à l'installation de cette mise à jour de sécurité.
•	V2.0 (12 juin 2007) : Bulletin mis à jour. Ce bulletin a été réédité afin de corriger les problèmes identifiés dans l'Article 924429 de la Base de connaissances Microsoft.

Haut de page