Alerte de sécurité sur les sites utilisant une technologie SharePoint
Microsoft a publié un bulletin de sécurité sur le produit SharePoint ( WSS 3 et Moss 2007 ).
La faille consiste en une attaque par un détournement des fichiers d'aide.
Du coup la solution actuelle en l'absence de correctif consiste à désactiver l'aide.
Pour ce faire on change les permissions ntfs du fichier
"%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx"
Pour aller plus en détail, c'est ici http://www.microsoft.com/technet/security/advisory/983438.mspx
Solution de contournement :
Run the following commands from a command prompt:
cacls "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N
cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N
Impact of workaround. This workaround will disable all help functionality from the SharePoint server.
How to undo the workaround.
| • |
Run the following commands from a command prompt:
takeown /f "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx"
takeown /f "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx"
cacls "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /R everyone
cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /R everyone
|