Actions DoS InfoPath Forms Services par publication - Événement 5737

  • Article

 

S’applique à : SharePoint Server 2010 Enterprise

Dernière rubrique modifiée : 2009-08-11

Nom de l’alerte :   Actions DoS InfoPath Forms Services par publication

ID de l’événement :   5737

Résumé :   Les formulaires InfoPath Forms Services enregistrent toutes les actions dans un journal des événements temporaire stocké sur le client navigateur. Lorsqu’une publication de serveur est nécessaire, les données enregistrées dans le journal sont envoyées et les actions sont relues sur le serveur. Une publication est déclenchée lorsqu’un utilisateur met à jour un formulaire ou exécute une action nécessitant une publication, telle que l’exécution d’une logique métier ou la soumission du formulaire. Pour empêcher InfoPath Forms Services de passer trop de temps sur une seule publication, un seuil est défini sur le serveur pour le nombre maximal d’actions par publication. Ce paramètre limite le nombre d’actions pouvant être répétées sur le serveur dans une seule publication et empêche les utilisateurs malveillants de créer leurs propres journaux d’événements et de provoquer l’arrêt du serveur.

Un utilisateur a dépassé le seuil définissant le nombre d’actions du formulaire autorisées par publication. Lorsque cela arrive, InfoPath Forms Services met fin à la session utilisateur afin de protéger le serveur.

Symptômes :   Le message suivant peut apparaître dans le journal des événements : ID de l’événement : 5737 Description : Nombre d’actions du formulaire, <entier>, dépasse <entier>, la valeur maximale autorisée par demande. Cette valeur est configurable et peut être modifiée par l’administrateur. (Utilisateur : <NomUtilisateur>, Nom du formulaire : <NomFormulaire>, Demande : <https://servername/_layouts/Postback.Formserver.aspx>, ID du formulaire : <IDFormulaire>)

Cause :   La ou les causes peuvent être :

  • Un utilisateur a tenté une attaque par déni de service (DoS) sur un serveur exécutant InfoPath Forms Services.

  • Le nombre d’actions autorisées par publication est trop faible.

Solution :   Vérifiez que le journal des événements Windows ne présente pas de signes d’attaques DoS

  • Cherchez des signes d’attaques DoS dans le journal des événements Windows. S’il s’agit d’une attaque DoS et qu’un modèle de formulaire approuvé par un administrateur est touché, supprimez-le de la collection de sites ou désactivez le modèle de formulaire.

    Pour vérifier le journal des événements Windows :

    1. Ouvrez l’Observateur d’événements Windows.

    2. Recherchez l’ID d’événement 5737 dans le journal d’événements d’applications Windows.

    3. Dans la description de l’événement, vérifiez l’ID du formulaire. S’il existe plusieurs événements pour le même ID de formulaire, cela indique peut-être qu’un utilisateur malveillant a déployé un formulaire contenant plusieurs actions par publication afin d’arrêter le serveur.

    Pour désactiver un modèle de formulaire dans une collection de sites :

    1. Sur le site Web Administration centrale de SharePoint, dans le volet Lancement rapide, cliquez sur Paramètres généraux de l’application et, dans la section InfoPath Forms Services, cliquez sur Gérer les modèles de formulaires.

    2. Dans la liste des modèles de formulaires, cliquez sur le modèle de formulaire que vous souhaitez désactiver, puis, dans la liste déroulante, cliquez sur Désactiver d’une collection de sites.

    3. Sur la page Désactivation du modèle de formulaire : <modèle>, dans la section Emplacement de la désactivation, sélectionnez la collection de sites puis cliquez sur OK.

    Pour supprimer complètement un modèle de formulaire :

    1. Sur la page Administration centrale, dans Lancement rapide, cliquez sur Paramètres généraux de l’application et, dans la section InfoPath Forms Services, cliquez sur Gérer les modèles de formulaires.

    2. Dans la liste des modèles de formulaire, cliquez sur le modèle de formulaire souhaité, puis, dans la liste déroulante, cliquez sur Supprimer le formulaire.

Solution :   Augmentez le nombre d’actions autorisées par publication

  1. Sur la page Administration centrale, dans le volet Lancement rapide, cliquez sur Paramètres généraux de l’application et, dans la section InfoPath Forms Services, cliquez sur Configurer InfoPath Forms Services.

  2. Dans la section Seuils, augmentez le nombre de publications autorisées par session.

    Notes

    Augmenter la valeur de ce paramètre peut en revanche diminuer les performances du serveur et augmenter les risques d’attaques DoS sur le serveur.