Partouche David

Formateur SharePoint, Windows, Exchange Consultant

Alerte de sécurité sur les sites utilisant une technologie SharePoint

Microsoft a publié un bulletin de sécurité sur le produit SharePoint ( WSS 3 et Moss 2007 ).
La faille consiste en une attaque par un détournement des fichiers d'aide.
Du coup la solution actuelle en l'absence de correctif consiste à désactiver l'aide.
Pour ce faire on change les permissions ntfs du fichier
"%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx"

Pour aller plus en détail, c'est ici http://www.microsoft.com/technet/security/advisory/983438.mspx

Solution de contournement :

Run the following commands from a command prompt:

cacls "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N

cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N

Impact of workaround. This workaround will disable all help functionality from the SharePoint server.

How to undo the workaround.

Run the following commands from a command prompt:

takeown /f "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx"

takeown /f "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx"

cacls "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /R everyone

cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /R everyone