Launch Printer Friendly Page Security TechCenter > Bulletins de sécurité > Bulletin de sécurité Microsoft MS12-050

Bulletin de sécurité Microsoft MS12-050 - Important

Des vulnérabilités dans SharePoint pourraient permettre une élévation de privilèges (2695502)

Paru le: | Mis(e) à jour:

Version: 2.2

Informations générales

Synthèse

Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et cinq vulnérabilités signalées confidentiellement dans Microsoft SharePoint et Windows SharePoint Services. Les vulnérabilités les plus graves pourraient permettre une élévation de privilèges si un utilisateur cliquait sur une URL spécialement conçue menant l'utilisateur sur un site SharePoint ciblé.

Cette mise à jour de sécurité est de niveau « important » pour les éditions en cours de support de Microsoft InfoPath 2007, Microsoft InfoPath 2010, Microsoft SharePoint Server 2007, Microsoft SharePoint Server 2010 et Microsoft Groove Server 2010, ainsi que pour les versions en cours de support de Microsoft Windows SharePoint Services 2.0, Microsoft Windows SharePoint Services 3.0 et SharePoint Foundation 2010. Pour plus d'informations, consultez la sous-section « Logiciels concernés et non concernés » plus loin dans ce Bulletin.

Cette mise à jour de sécurité corrige les vulnérabilités en modifiant la façon dont les chaînes HTML sont nettoyées et en rectifiant la façon dont Microsoft SharePoint valide et nettoie les entrées utilisateur. Pour obtenir plus d'informations sur les vulnérabilités, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité, dans la section « Informations par vulnérabilité ».

Recommandation. Les clients peuvent configurer les mises à jour automatiques pour que la disponibilité de mises à jour sur Microsoft Update soit vérifiée à l'aide du service Microsoft Update. Les clients ayant activé les mises à jour automatiques et configuré la vérification en ligne de la disponibilité de mises à jour sur Microsoft Update n'ont généralement pas besoin d'entreprendre de nouvelle action car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Nos clients chez lesquels les mises à jour automatiques ne sont pas activées doivent rechercher les mises à jour sur Microsoft Update et les installer manuellement. Pour obtenir des informations à propos des options de configuration spécifiques des mises à jour automatiques dans les éditions en cours de support de Windows XP et Windows Server 2003, consultez l'Article 294871 de la Base de connaissances Microsoft. Pour obtenir des informations à propos des mises à jour automatiques dans les éditions en cours de support de Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2, consultez l'article « Présentation des mises à jour automatiques de Windows ».

Pour les administrateurs et les installations d'entreprise, ou bien pour les utilisateurs souhaitant installer cette mise à jour de sécurité manuellement, Microsoft recommande à ses clients d'appliquer cette mise à jour le plus rapidement possible à l'aide du logiciel de gestion des mises à jour ou en recherchant des mises à jour à l'aide du service Microsoft Update.

Consultez également la section « Outils de détection, de déploiement et Conseils » dans ce même Bulletin.

Problèmes connus. L'Article 2695502 de la Base de connaissances Microsoft décrit les problèmes connus auxquels les clients peuvent être confrontés lors de l'installation de cette mise à jour de sécurité. Cet article documente également les solutions palliatives recommandées. Lorsque les problèmes connus et les solutions palliatives recommandées concernent uniquement certaines versions spécifiques du logiciel, cet article fournit les liens vers les articles respectifs.

Logiciels concernés et non concernés

Microsoft a testé les logiciels suivants afin de déterminer quelles versions ou éditions sont concernées. Toute autre version ou édition a soit atteint la fin de son cycle de vie ou bien n'est pas affectée. Consultez le site Web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Logiciels concernés

Microsoft Office

LogicielsImpact de sécurité maximalIndice de gravité cumuléeMises à jour remplacées
Microsoft InfoPath 2007 Service Pack 2
(KB2596666)

Microsoft InfoPath 2007 Service Pack 2
(KB2596786)
Élévation de privilègesImportantAucun
Microsoft InfoPath 2007 Service Pack 3
(KB2596666)

Microsoft InfoPath 2007 Service Pack 3
(KB2596786)
Élévation de privilègesImportantAucun
Microsoft InfoPath 2010 (éditions 32 bits)
(KB2553431)

Microsoft InfoPath 2010 (éditions 32 bits)
(KB2553322)
Élévation de privilègesImportantAucun
Microsoft InfoPath 2010 Service Pack 1 (éditions 32 bits)
(KB2553431)

Microsoft InfoPath 2010 Service Pack 1 (éditions 32 bits)
(KB2553322)
Élévation de privilègesImportantAucun
Microsoft InfoPath 2010 (éditions 64 bits)
(KB2553431)

Microsoft InfoPath 2010 (éditions 64 bits)
(KB2553322)
Élévation de privilègesImportantAucun
Microsoft InfoPath 2010 Service Pack 1 (éditions 64 bits)
(KB2553431)

Microsoft InfoPath 2010 Service Pack 1 (éditions 64 bits)
(KB2553322)
Élévation de privilègesImportantAucun

Logiciels serveurs Microsoft

LogicielsComposant Impact de sécurité maximalIndice de gravité cumuléeMises à jour remplacées
Microsoft SharePoint Server
Microsoft Office SharePoint Server 2007 Service Pack 2 (éditions 32 bits)Microsoft Office SharePoint Server 2007 Service Pack 2 (coreserver) (éditions 32 bits)[1]
(KB2596663)

Microsoft Office SharePoint Server 2007 Service Pack 2 (xlsrvwfe) (éditions 32 bits)
(KB2596942)
Élévation de privilègesImportantKB2508964 dans le Bulletin MS11-074 est remplacé par KB2596663
Microsoft Office SharePoint Server 2007 Service Pack 3 (éditions 32 bits)[1]Microsoft Office SharePoint Server 2007 Service Pack 3 (coreserver) (éditions 32 bits)[1]
(KB2596663)

Microsoft Office SharePoint Server 2007 Service Pack 3 (xlsrvwfe) (éditions 32 bits)
(KB2596942)
Élévation de privilègesImportantKB2508964 dans le Bulletin MS11-074 est remplacé par KB2596663
Microsoft Office SharePoint Server 2007 Service Pack 2 (éditions 64 bits)[1]Microsoft Office SharePoint Server 2007 Service Pack 2 (coreserver) (éditions 64 bits)[1]
(KB2596663)

Microsoft Office SharePoint Server 2007 Service Pack 2 (xlsrvwfe) (éditions 64 bits)
(KB2596942)
Élévation de privilègesImportantKB2508964 dans le Bulletin MS11-074 est remplacé par KB2596663
Microsoft Office SharePoint Server 2007 Service Pack 3 (éditions 64 bits)[1]Microsoft Office SharePoint Server 2007 Service Pack 3 (coreserver) (éditions 64 bits)[1]
(KB2596663)

Microsoft Office SharePoint Server 2007 Service Pack 2 (xlsrvwfe) (éditions 64 bits)
(KB2596942)
Élévation de privilègesImportantKB2508964 dans le Bulletin MS11-074 est remplacé par KB2596663
Microsoft SharePoint Server 2010 Microsoft SharePoint Server 2010 (wosrv)
(KB2553424)

Microsoft SharePoint Server 2010 (coreserverloc)
(KB2553194)
Élévation de privilègesImportantKB2566960 dans le Bulletin MS11-074 est remplacé par KB2553424

KB2566954 dans le Bulletin MS11-074 est remplacé par KB2553194
Microsoft SharePoint Server 2010 Service Pack 1Microsoft SharePoint Server 2010 Service Pack 1 (wosrv)
(KB2553424)

Microsoft SharePoint Server 2010 Service Pack 1 (coreserverloc)
(KB2553194)
Élévation de privilègesImportantKB2566960 dans le Bulletin MS11-074 est remplacé par KB2553424

KB2566954 dans le Bulletin MS11-074 est remplacé par KB2553194
Microsoft Groove Server
Microsoft Groove Server 2010
(KB2589325)
Non concernéÉlévation de privilègesImportantKB2553005 dans le Bulletin MS11-074 est remplacé par KB2589325
Microsoft Groove Server 2010 Service Pack 1
(KB2589325)
Non concernéÉlévation de privilègesImportantKB2553005 dans le Bulletin MS11-074 est remplacé par KB2589325
Windows SharePoint Services et Microsoft SharePoint Foundation
Microsoft Windows SharePoint Services 2.0[2] 
(KB2760604)
Non concernéÉlévation de privilègesImportantKB2494007 dans le Bulletin MS11-074 est remplacé par KB2760604
Microsoft Windows SharePoint Services 3.0 Service Pack 2 (version 32 bits)
(KB2596911)
Non concernéÉlévation de privilègesImportantKB2493987 dans le Bulletin MS11-074 est remplacé par KB2596911
Microsoft Windows SharePoint Services 3.0 Service Pack 2 (version 64 bits)
(KB2596911)
Non concernéÉlévation de privilègesImportantKB2493987 dans le Bulletin MS11-074 est remplacé par KB2596911
Microsoft SharePoint Foundation 2010
(KB2553365)
Non concernéÉlévation de privilègesImportantKB2494001 dans le Bulletin MS11-074 est remplacé par KB2553365
Microsoft SharePoint Foundation 2010 Service Pack 1
(KB2553365)
Non concernéÉlévation de privilègesImportantKB2494001 dans le Bulletin MS11-074 est remplacé par KB2553365

[1]Pour les éditions en cours de support de Microsoft Office SharePoint Server 2007, outre les packages de mise à jour de sécurité pour Microsoft Office SharePoint 2007 (KB2596663 and KB2596942), les clients doivent également installer la mise à jour de sécurité pour Microsoft Windows SharePoint Services 3.0 (KB2596911) afin d'être protégés des vulnérabilités décrites dans ce Bulletin.

[2]Cette mise à niveau est uniquement disponible à partir du Centre de téléchargement Microsoft.

Microsoft Office Web Apps

LogicielsImpact de sécurité maximalIndice de gravité cumuléeMises à jour remplacées
Microsoft Office Web Apps 2010
(KB2598239)
Élévation de privilègesImportantKB2566449 dans le Bulletin MS11-074 est remplacé par KB2598239
Microsoft Office Web Apps 2010 Service Pack 1
(KB2598239)
Élévation de privilègesImportantKB2566449 dans le Bulletin MS11-074 est remplacé par KB2598239

Logiciels non concernés

Office et autres logiciels
Microsoft SharePoint Portal Server 2003 Service Pack 3
Microsoft InfoPath 2003 Service Pack 3
Microsoft Groove 2007 Service Pack 2
Microsoft Groove 2007 Service Pack 3
Microsoft Groove Server 2007 Service Pack 2
Microsoft Groove Server 2007 Service Pack 3
Microsoft SharePoint Workspace 2010 (éditions 32 bits)
Microsoft SharePoint Workspace 2010 Service Pack 1 (éditions 32 bits)
Microsoft SharePoint Workspace 2010 (éditions 64 bits)
Microsoft SharePoint Workspace 2010 Service Pack 1 (éditions 64 bits)

Forum aux questions concernant cette mise à jour de sécurité

Informations par vulnérabilité

Indices de gravité et identificateurs de vulnérabilité

Vulnérabilité liée au nettoyage HTML - CVE-2012-1858

Vulnérabilité de script inter-sites (XSS ou cross-site scripting) dans scriptresx.ashx - CVE-2012-1859

Vulnérabilité liée à l'étendue de la recherche dans SharePoint - CVE-2012-1860

Vulnérabilité liée au script dans le nom d'utilisateur dans SharePoint - CVE-2012-1861

Vulnérabilité liée à la redirection d'URL dans SharePoint - CVE-2012-1862

Vulnérabilité liée à un paramètre de liste reflété dans SharePoint - CVE-2012-1863

Informations concernant la mise à jour

Outils de détection, de déploiement et Conseils

Déploiement de la mise à jour de sécurité

Autres informations

Remerciements

Microsoft remercie les organismes ci-dessous pour avoir contribué à la protection de ses clients :

Microsoft Active Protections Program (MAPP)

Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites Web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page Microsoft Active Protections Program (MAPP) Partners (en anglais).

Support technique

Comment obtenir de l'aide concernant cette mise à jour de sécurité

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (10 juillet 2012) : Bulletin publié.
  • V1.1 (10 juillet 2012) : Réduction de l'indice de gravité pour la vulnérabilité liée à l'étendue de la recherche dans SharePoint (CVE-2012-1860) du niveau « important » au niveau « modéré » pour tous les logiciels concernés. Il s'agit d'une modification purement informative.
  • V2.0 (11 décembre 2012) : Réédition de ce Bulletin pour annoncer la disponibilité d'une mise à jour pour Microsoft Windows SharePoint Services 2.0. Cette réédition ne concerne aucun autre package de mise à jour.
  • V2.1 (12 décembre 2012) : Clarification afin de préciser que la mise à jour pour Microsoft SharePoint Services 2.0 est disponible à partir du Centre de téléchargement Microsoft uniquement.
  • V2.2 (15 janvier 2014) : Bulletin mis à jour pour annoncer une modification de la logique de détection pour la mise à jour 2596911. Cette modification ne concerne que la logique de détection. Nos clients ayant déjà mis à jour leur système n'ont pas besoin d'entreprendre de nouvelle action.