CERTA-2000-AVI-064

Vulnerability from certfr_avis - Published: - Updated:

Les cookies échangés lors d'une session de navigation en mode sécurisé (HTTPS) sur un site sont échangés en clair pendant la même session, lors d'une connexion au même site en mode normal (HTTP).

Description

HTTP est un protocole fonctionnant en mode déconnecté. Pour simuler une session, ou préserver des préférences enregistrées lors d'une navigation sur un site afin de les réutiliser ultérieurement, on peut utiliser des petits fichiers textes appelés « cookies » dans lesquels sont enregistrées des informations nécessaires à l'identification de la session entre un serveur web et un navigateur client. Les cookies permettent notamment de créer un contexte de « session » lors d'une navigation sur un site web.

Au cours d'une session de navigation en mode sécurisé, il se peut que le client et le serveur échangent des cookies chiffrés. Malheureusement les pages écrites au format .ASP gèrent mal les sessions identifiées par des cookies. Lorsqu'un utilisateur navigue en mode sécurisé sur un site, et lorsque le serveur crée une ouverture de session en envoyant des cookies chiffrés au navigateur client, si cet utilisateur est amené par la suite à naviguer sur le même site en mode normal, les mêmes cookies seront alors échangés en clair.

Cela permet à un utilisateur mal intentionné qui maîtrise le réseau situé entre le navigateur client et le serveur, s'il réussi à amener le client à naviguer sur le même site en mode normal, de lire les cookies et de les réutiliser, en usurpant ainsi l'identité de sa victime, sur le site sécurisé.

Contournement provisoire

Pour les clients : désactiver les cookies sauf dans les cas de nécessité.

Solution

Pour les serveurs : appliquer le correctif de Microsoft :

  • Pour Internet Information 4.0 :

    http://www.microsoft.com/Downloads/Release.asp?ID=25233

  • Pour Internet Information Server 5.0 :

    http://www.microsoft.com/Downloads/Release.asp?ID=25232

Internet Information Server 4.0 et 5.0

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eInternet Information Server 4.0 et 5.0\u003c/P\u003e",
  "content": "## Description\n\nHTTP est un protocole fonctionnant en mode d\u00e9connect\u00e9. Pour simuler une\nsession, ou pr\u00e9server des pr\u00e9f\u00e9rences enregistr\u00e9es lors d\u0027une navigation\nsur un site afin de les r\u00e9utiliser ult\u00e9rieurement, on peut utiliser des\npetits fichiers textes appel\u00e9s \u00ab cookies \u00bb dans lesquels sont\nenregistr\u00e9es des informations n\u00e9cessaires \u00e0 l\u0027identification de la\nsession entre un serveur web et un navigateur client. Les cookies\npermettent notamment de cr\u00e9er un contexte de \u00ab session \u00bb lors d\u0027une\nnavigation sur un site web.\n\nAu cours d\u0027une session de navigation en mode s\u00e9curis\u00e9, il se peut que le\nclient et le serveur \u00e9changent des cookies chiffr\u00e9s. Malheureusement les\npages \u00e9crites au format .ASP g\u00e8rent mal les sessions identifi\u00e9es par des\ncookies. Lorsqu\u0027un utilisateur navigue en mode s\u00e9curis\u00e9 sur un site, et\nlorsque le serveur cr\u00e9e une ouverture de session en envoyant des cookies\nchiffr\u00e9s au navigateur client, si cet utilisateur est amen\u00e9 par la suite\n\u00e0 naviguer sur le m\u00eame site en mode normal, les m\u00eames cookies seront\nalors \u00e9chang\u00e9s en clair.\n\nCela permet \u00e0 un utilisateur mal intentionn\u00e9 qui ma\u00eetrise le r\u00e9seau\nsitu\u00e9 entre le navigateur client et le serveur, s\u0027il r\u00e9ussi \u00e0 amener le\nclient \u00e0 naviguer sur le m\u00eame site en mode normal, de lire les cookies\net de les r\u00e9utiliser, en usurpant ainsi l\u0027identit\u00e9 de sa victime, sur le\nsite s\u00e9curis\u00e9.\n\n## Contournement provisoire\n\nPour les clients : d\u00e9sactiver les cookies sauf dans les cas de\nn\u00e9cessit\u00e9.\n\n## Solution\n\nPour les serveurs : appliquer le correctif de Microsoft :\n\n-   Pour Internet Information 4.0 :\n\n        http://www.microsoft.com/Downloads/Release.asp?ID=25233\n\n-   Pour Internet Information Server 5.0 :\n\n        http://www.microsoft.com/Downloads/Release.asp?ID=25232\n",
  "cves": [],
  "links": [
    {
      "title": "La page de la CNIL concernant les cookies :",
      "url": "http://www.cnil.fr/traces/comment/cooki.htm"
    },
    {
      "title": "Une RFC concernant HTTP et les cookies :",
      "url": "http://www.ietf.org/rfc/rfc2109.txt"
    },
    {
      "title": "Le bulletin de s\u00e9curit\u00e9 Microsoft et sa FAQ :",
      "url": "http://www.microsoft.com/technet/security/bulletin/ms00-080.asp"
    },
    {
      "title": "Le bulletin de s\u00e9curit\u00e9 Microsoft et sa FAQ :",
      "url": "http://www.microsoft.com/technet/security/bulletin/fq00-080.asp"
    }
  ],
  "reference": "CERTA-2000-AVI-064",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-10-24T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Usurpation d\u0027identit\u00e9"
    },
    {
      "description": "Vol d\u0027informations confidentielles"
    }
  ],
  "summary": "Les cookies \u00e9chang\u00e9s lors d\u0027une session de navigation en mode s\u00e9curis\u00e9\n(HTTPS) sur un site sont \u00e9chang\u00e9s \u003cspan class=\"textit\"\u003een clair\u003c/span\u003e\npendant la m\u00eame session, lors d\u0027une connexion au m\u00eame site en mode\nnormal (HTTP).\n",
  "title": "Vol de cookies sous HTTPS avec les serveurs Microsoft Internet Information Server",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de S\u00e9curit\u00e9 Microsoft",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.