Publications DoS d’InfoPath Forms Services par session - Événement 5736

  • Article

 

S’applique à : SharePoint Server 2010 Enterprise

Dernière rubrique modifiée : 2009-08-13

Nom de l’alerte :   publications InfoPath Forms Services par session avec attaques par déni de service

ID d’événement :   5736

Résumé :   pour certains contrôles, actions et fonctionnalités de formulaire InfoPath, il est nécessaire que le navigateur communique avec le serveur pendant une session de formulaire. Cet échange de données pendant la session s’appelle une publication et se produit généralement lorsqu’une fonctionnalité de formulaire doit envoyer des données au serveur en vue de leur traitement. Les publications superflues imposent une charge supplémentaire au navigateur et au serveur. Afin que le serveur soit protégé, un seuil est défini pour le nombre maximal de publications par session. Ce paramètre limite le nombre de publications pouvant être exécutées pendant une session donnée lorsqu’un utilisateur remplit un formulaire et empêche les utilisateurs malveillants d’arrêter le serveur.

Un utilisateur a dépassé le seuil qui était défini pour le nombre de publications autorisées par session de formulaire. Lorsque cette condition se produit, la session utilisateur est arrêtée afin que le serveur soit protégé.

Symptômes :   le message suivant peut apparaître dans le journal des événements : ID d’événement : 5736 Description : Le nombre de publications, <entier>, dépasse la valeur maximale autorisée par session de <entier>. Cette valeur peut être configurée et modifiée par l’administrateur. (Utilisateur : <nom d’utilisateur>, Nom du formulaire : <nom formulaire>, Demande : <http://nomserveur/_layouts/Postback.Formserver.aspx>, ID du formulaire : <ID formulaire>)

Cause :   une ou plusieurs des causes suivantes sont possibles :

  • Un utilisateur a tenté une attaque par déni de service contre un serveur sur lequel InfoPath Forms Services dans Microsoft SharePoint Server 2010 s’exécute.

  • Le nombre de publications autorisées par état de session de formulaire InfoPath est trop petit.

Solution :   vérifier si les journaux du serveur signalent une attaque par déni de service

  • Vérifiez si le journal des événements Windows et les journaux Internet Information Services (IIS) signalent une attaque par déni de service. S’il s’agit d’une attaque par déni de service et qu’un modèle de formulaire approuvé par l’administrateur est affecté, supprimez le modèle de formulaire de la collection de sites ou désactivez-le.

    Pour vérifier le journal des événements Windows :

    1. Ouvrez l’Observateur d’événements Windows.

    2. Recherchez l’ID d’événement 5736 dans le journal des événements de l’application Windows.

    3. Dans la description de l’événement, vérifiez l’ID du formulaire. S’il existe plusieurs événements pour le même ID de formulaire, cela peut indiquer qu’un utilisateur malveillant a déployé un formulaire qui entraîne de nombreuses publications pendant une tentative d’arrêt du serveur.

    Pour vérifier les journaux IIS :

    1. Accédez à \inetpub\logs pour consulter les journaux IIS.

    2. Les entrées des journaux Internet Information Services (IIS) peuvent être mises en corrélation avec les informations du journal des événements. Si de nombreuses demandes GET pour un formulaire spécifique se trouvent dans le journal IIS et que ce formulaire entraîne par ailleurs de nombreuses publications, qui sont en train d’être journalisées, il est possible qu’une attaque par déni de service soit en cours.

    3. Les entrées des journaux IIS contiennent également l’adresse IP de l’ordinateur qui a envoyé la demande.

    Pour désactiver un modèle de formulaire d’une collection de sites :

    1. Sur le site Web Administration centrale de SharePoint, dans la barre de lancement rapide, cliquez sur Paramètres généraux de l’application, puis, dans la section InfoPath Forms Services, cliquez sur Gérer les modèles de formulaires.

    2. Dans la liste des modèles de formulaire, cliquez sur le modèle de formulaire à désactiver, puis, dans la liste déroulante, cliquez sur Désactiver d’une collection de sites.

    3. Dans la page Désactivation du modèle de formulaire : <modèle>, dans la section Emplacement de la désactivation, sélectionnez la collection de sites, puis cliquez sur OK.

    Pour supprimer un modèle de formulaire complètement :

    1. Dans la page Administration centrale, dans la barre de lancement rapide, cliquez sur Paramètres généraux de l’application, puis, dans la section InfoPath Forms Services, cliquez sur Gérer les modèles de formulaires.

    2. Dans la liste des modèles de formulaire, cliquez sur le modèle de formulaire de votre choix, puis, dans la liste déroulante, cliquez sur Supprimer le formulaire.

Solution :   augmenter le nombre de publications autorisées par session

  1. Dans la page Administration centrale, dans la barre de lancement rapide, cliquez sur Paramètres généraux de l’application, puis, dans la section InfoPath Forms Services, cliquez sur Configurer InfoPath Forms Services.

  2. Dans la section Seuils, augmentez la valeur du nombre de publications autorisées par session.

    Notes

    L’augmentation de la valeur de ce paramètre peut affecter les performances du serveur et accroître le risque d’attaques par déni de service sur le serveur.