Les applications Web utilisant l'authentification par revendications nécessitent une mise à jour (SharePoint Server 2010)
S’applique à : SharePoint Foundation 2010, SharePoint Server 2010
Dernière rubrique modifiée : 2016-11-30
Nom de la règle : Les applications Web utilisant l’authentification par revendications nécessitent une mise à jour
ID d’événement : Aucun
Résumé : Les applications Web utilisant l’authentification par revendications sont exposées à une vulnérabilité de sécurité :susceptible d’autoriser les utilisateurs à élever les privilèges. Les serveurs Web qui hébergent des applications Web utilisant l’authentification par revendications sont donc potentiellement vulnérables.
Cause : Ce problème peut survenir lorsque vous déployez une application Web Microsoft ASP.NET 2.0 vers un site Web hébergé sur un serveur exécutant Microsoft SharePoint Server 2010, et qu’IIS (Internet Information Services) 7.0 ou 7.5 s’exécute en mode intégré sur le serveur.
Si vous déployez des composants WebPart approuvés en partie ou créez des listes externes sur le site SharePoint, ces composants ou ces listes peuvent détenir davantage d’autorisations qu’ils ne le devraient. Ce problème peut créer un risque de sécurité sur le site SharePoint. Ils peuvent ainsi générer des demandes de base de données ou des demandes HTTP de manière inattendue.
Ce problème survient en raison d’une modification dans le composant d’authentification ASP.NET 2.0. Du fait de cette modification, les composants WebPart approuvés en partie ou les listes externes empruntent l’identitié du compte du pool d’applications. Par conséquent, les composants WebPart ont un accès total au site.
Solution : Installez la mise à jour
Pour télécharger la mise à jour, voir l’article KB979917 - Résolution des problèmes SharePoint - Correctif pour le compteur de performances et l’emprunt d’identité de l’utilisateur (éventuellement en français).
Pour plus d’informations sur la mise à jour, voir l’Article 979917 de la Base de connaissances.