Bulletin de sécurité Microsoft MS14-050 - Important
Une vulnérabilité dans Microsoft SharePoint Server pourrait permettre l’élévation de privilèges (2977202)
Publication : 12 août 2014
Version : 1.0
Informations générales
Résumé
Cette mise à jour de sécurité résout une vulnérabilité signalée en privé dans Microsoft SharePoint Server. Un attaquant authentifié qui a réussi à exploiter cette vulnérabilité pourrait utiliser une application spécialement conçue pour exécuter du Code JavaScript arbitraire dans le contexte de l’utilisateur sur le site SharePoint actuel.
Cette mise à jour de sécurité est de niveau « Important » pour les éditions prises en charge de Microsoft SharePoint Server 2013 et de Microsoft SharePoint Foundation 2013. Pour plus d’informations, consultez la section Logiciels affectés et non affectés .
La mise à jour de sécurité corrige la vulnérabilité en corrigeant la façon dont SharePoint Server assainit les applications spécialement conçues (applications) qui utilisent des actions personnalisées. Pour plus d’informations sur la vulnérabilité, consultez la sous-section Questions fréquentes (FAQ) pour la vulnérabilité spécifique plus loin dans ce bulletin.
Recommandation. Les clients peuvent configurer la mise à jour automatique pour case activée en ligne pour les mises à jour de Microsoft Update à l’aide du service Microsoft Update. Les clients dont la mise à jour automatique est activée et configurée pour case activée en ligne pour les mises à jour à partir de Microsoft Update n’auront généralement aucune action à entreprendre, car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour à partir de Microsoft Update et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’Article de la Base de connaissances Microsoft 294871.
Pour les administrateurs et les installations d’entreprise, ou pour les utilisateurs finaux qui souhaitent installer cette mise à jour de sécurité manuellement, Microsoft recommande aux clients d’appliquer la mise à jour dès que possible à l’aide d’un logiciel de gestion des mises à jour ou en vérifiant les mises à jour à l’aide du service Microsoft Update .
Remarque pour SharePoint Server Les outils de détection (tels que Microsoft Update, WSUS, MBSA, SMS et System Center Configuration Manager) s’appliquent aux déploiements Microsoft SharePoint Server à serveur unique. Les outils de détection ne détectent pas l’applicabilité des mises à jour sur les systèmes configurés dans le cadre d’une batterie de serveurs SharePoint à plusieurs systèmes. Pour obtenir des instructions recommandées sur la façon d’appliquer des mises à jour à SharePoint Server, consultez Déployer des mises à jour logicielles pour SharePoint 2013.
Article de la Base de connaissances
- Article de la Base de connaissances : 2977202
- Informations sur le fichier : Oui
- Hachages SHA1/SHA2 : Oui
- Problèmes connus : Oui
Logiciels affectés et non affectés
Les logiciels suivants ont été testés pour déterminer quelles versions ou éditions sont affectées. Les autres versions ou éditions ont dépassé leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition de logiciel, consultez Support Microsoft Cycle de vie.
Logiciels affectés
Microsoft Server Software
| Logiciels | Composant | Impact maximal sur la sécurité | Indice de gravité agrégé | Mises à jour remplacé |
|---|---|---|---|---|
| Microsoft Windows SharePoint Server | ||||
| Microsoft SharePoint Server 2013 | Microsoft SharePoint Server 2013 (2880994) | Élévation de privilège | Important | 2863856 dans MS14-022 |
| Microsoft SharePoint Server 2013 Service Pack 1 | Microsoft SharePoint Server 2013 Service Pack 1 (2880994) | Élévation de privilège | Important | 2863856 dans MS14-022 |
| Microsoft SharePoint Server 2013 | Microsoft SharePoint Foundation 2013 (2880994) | Élévation de privilège | Important | 2863856 dans MS14-022 |
| Microsoft SharePoint Server 2013 Service Pack 1 | Microsoft SharePoint Foundation 2013 Service Pack 1 (2880994) | Élévation de privilège | Important | 2863856 dans MS14-022 |
Logiciels non affectés
| Logiciels |
|---|
| Microsoft SharePoint Portal Server 2003 Service Pack 3 |
| Microsoft SharePoint Server 2007 Service Pack 3 (édition 32 bits) |
| Microsoft SharePoint Server 2007 Service Pack 3 (édition 64 bits) |
| Excel Services sur Microsoft SharePoint Server 2007 Service Pack 3 (éditions 32 bits) |
| Excel Services sur Microsoft SharePoint Server 2007 Service Pack 3 (éditions 64 bits) |
| Microsoft Windows SharePoint Services 2.0 |
| Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versions 32 bits) |
| Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versions 64 bits) |
| Microsoft SharePoint Foundation 2010 Service Pack 1 |
| Microsoft SharePoint Foundation 2010 Service Pack 2 |
| Excel Services sur Microsoft SharePoint Server 2010 Service Pack 1 |
| Excel Services sur Microsoft SharePoint Server 2010 Service Pack 2 |
| Word Automation Services sur Microsoft SharePoint Server 2010 Service Pack 1 |
| Word Automation Services sur Microsoft SharePoint Server 2010 Service Pack 2 |
| Microsoft Web Applications 2010 Service Pack 1 |
| Microsoft Web Applications 2010 Service Pack 2 |
| Microsoft Excel Web App 2010 Service Pack 1 |
| Microsoft Excel Web App 2010 Service Pack 2 |
Faq sur la mise à jour
Que se passe-t-il si une application cesse de fonctionner ou ne s’installe pas correctement après l’installation de cette mise à jour ?
Étant donné que cette mise à jour corrige la façon dont SharePoint assainit les applications, certaines applications, en particulier celles qui utilisent des actions personnalisées, peuvent cesser de fonctionner ou ne pas s’installer correctement après l’installation de cette mise à jour. Évaluez les applications qui cessent de fonctionner ou qui ne s’installent pas correctement au cas par cas. Si l’application provient d’une source non approuvée ou n’est plus nécessaire, vous devez supprimer l’application. Pour plus d’informations sur la suppression d’applications, consultez Supprimer une application pour les instances SharePoint d’un site SharePoint 2013. Avertissement Après avoir supprimé une application, vous ne pourrez pas récupérer les données que l’application peut stocker à l’emplacement où elle est hébergée. Si vous souhaitez conserver ces données, vous devez les enregistrer avant de supprimer l’application. Accédez à l’application que vous envisagez de supprimer, puis copiez manuellement les données dans un autre format (certaines applications peuvent vous fournir un moyen d’exporter des données).
En revanche, si l’application vous fait confiance et que vous souhaitez continuer à utiliser, case activée sources approuvées ou contactez l’auteur de l’application pour obtenir une version mise à jour qui fonctionne et s’installe correctement.
J’utilise une version antérieure du logiciel abordé dans ce bulletin de sécurité. Que dois-je faire ?
Les logiciels concernés répertoriés dans ce bulletin ont été testés pour déterminer quelles versions sont affectées. Les autres versions ont dépassé leur cycle de vie de support. Pour plus d’informations sur le cycle de vie du produit, consultez le site web Support Microsoft Lifecycle.
La migration vers les versions prises en charge doit être une priorité pour les clients qui ont des versions antérieures du logiciel afin d’éviter toute exposition potentielle aux vulnérabilités. Pour déterminer le cycle de vie de la prise en charge de votre version logicielle, consultez Sélectionner un produit pour les informations de cycle de vie. Pour plus d’informations sur les Service Packs pour ces versions logicielles, consultez Politique de support du cycle de vie du Service Pack.
Les clients qui ont besoin d’un support personnalisé pour les logiciels plus anciens doivent contacter leur représentant de l’équipe de compte Microsoft, leur responsable technique de compte ou le représentant partenaire Microsoft approprié pour obtenir des options de support personnalisées. Les clients sans contrat , Premier ou Autorisé peuvent contacter leur bureau de vente Microsoft local. Pour obtenir des informations de contact, consultez le site web Microsoft Worldwide Information , sélectionnez le pays dans la liste Informations de contact, puis cliquez sur Accéder à la liste des numéros de téléphone. Lorsque vous appelez, demandez à parler au responsable commercial du support Premier local. Pour plus d’informations, consultez le FAQ sur la politique de cycle de vie des Support Microsoft.
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son évaluation de gravité et à son impact sur la sécurité, consultez l’index d’exploitabilité dans la synthèse du bulletin d’août. Pour plus d’informations, consultez Microsoft Exploitability Index.
Microsoft Server Software
| Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés | ||
|---|---|---|
| Logiciels affectés | Vulnérabilité de contenu de page SharePoint - CVE-2014-2816 | Indice de gravité agrégé |
| Microsoft Windows SharePoint Server 2013 | ||
| Microsoft SharePoint Server 2013 | Important Élévation de privilèges | Important |
| Microsoft SharePoint Server 2013 Service Pack 1 | Important Élévation de privilèges | Important |
| Microsoft SharePoint Foundation 2013 | Important Élévation de privilèges | Important |
| Microsoft SharePoint Foundation 2013 Service Pack 1 | Important Élévation de privilèges | Important |
Vulnérabilité de contenu de page SharePoint - CVE-2014-2816
Une vulnérabilité d’élévation de privilèges existe dans SharePoint Server. Un attaquant authentifié qui a réussi à exploiter cette vulnérabilité pourrait utiliser une application spécialement conçue pour exécuter du code arbitraire dans le contexte de sécurité de l’utilisateur connecté.
Pour afficher cette vulnérabilité en tant qu’entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez CVE-2014-2816.
Facteurs atténuants
Microsoft n’a pas identifié de facteurs atténuants pour cette vulnérabilité.
Solutions de contournement
La solution de contournement fait référence à un paramètre ou à une modification de configuration qui ne corrige pas la vulnérabilité sous-jacente, mais qui aiderait à bloquer les vecteurs d’attaque connus avant d’appliquer la mise à jour. Microsoft a testé les solutions de contournement et les états suivants dans la discussion sur la réduction des fonctionnalités :
Pour les instances SharePoint, évaluez et supprimez les applications le cas échéant. Installez de nouvelles applications à partir de sources approuvées uniquement.
Évaluez les applications installées au cas par cas et supprimez celles qui ont été installées à partir de sources non approuvées et celles qui ne sont plus nécessaires. Vous devez également évaluer les applications installées à partir de sources approuvées pour voir si l’application a été supprimée de la source approuvée. Si une application a été supprimée de la source approuvée, cela peut indiquer que l’application est désormais considérée comme non approuvée et que vous devez supprimer l’application de vos instances SharePoint.Pour plus d’informations, consultez Supprimer une application pour les instances SharePoint d’un site SharePoint 2013.
Après avoir supprimé les applications installées à partir de sources non approuvées, installez les nouvelles applications en fonction des besoins à partir de sources approuvées uniquement.
Impact de la solution de contournement Lorsque les administrateurs suppriment des applications pour SharePoint à partir de sites SharePoint, les applications sont désinstallées et les fonctionnalités ne sont plus disponibles pour les utilisateurs.
Avertissement Après avoir supprimé une application, vous ne pourrez pas récupérer les données que l’application peut stocker à l’emplacement où elle est hébergée. Si vous souhaitez conserver ces données, vous devez les enregistrer avant de supprimer l’application. Accédez à l’application que vous envisagez de supprimer, puis copiez manuellement les données dans un autre format (certaines applications peuvent vous fournir un moyen d’exporter des données).
Forum aux questions
Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité d’élévation de privilèges.
Quelles sont les causes de la vulnérabilité ?
La vulnérabilité se produit lorsque SharePoint Server ne gère pas correctement une application spécialement conçue qui utilise le modèle d’extensibilité SharePoint pour exécuter javaScript arbitraire pour le compte de l’utilisateur. Il existe des conditions dans lesquelles une application peut contourner la gestion des autorisations d’application et exécuter du code arbitraire dans le contexte de sécurité de l’utilisateur connecté.
Qu’est-ce que la gestion des autorisations d’application ?
L’objectif de la gestion des autorisations d’application est de gérer la capacité des applications à accéder et à utiliser des ressources SharePoint 2013 internes et à effectuer des tâches pour le compte des utilisateurs. Pour plus d’informations, consultez Planifier la gestion des autorisations d’application dans SharePoint 2013.
Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter la vulnérabilité pourrait utiliser une application spécialement conçue pour exécuter un script arbitraire dans le contexte de sécurité de l’utilisateur connecté. Le script peut ensuite, par exemple, effectuer des actions sur le site SharePoint affecté pour le compte de l’utilisateur connecté avec les mêmes autorisations que l’utilisateur connecté.
Comment un attaquant peut-il exploiter la vulnérabilité ?
Un attaquant peut créer une application spécialement conçue pour exploiter cette vulnérabilité, puis convaincre les utilisateurs d’installer l’application spécialement conçue.
Quels sont les systèmes qui sont les plus exposés à la vulnérabilité ?
Les systèmes exécutant une version affectée de SharePoint Server qui autorisent les connexions à partir d’applications qui implémentent l’ensemble de fonctionnalités concernés sont principalement à risque.
Que fait la mise à jour ?
La mise à jour corrige la vulnérabilité en corrigeant la façon dont SharePoint Server assainit les applications spécialement conçues qui utilisent des actions personnalisées.
Lors de la publication de ce bulletin de sécurité, cette vulnérabilité avait-elle été rendue publique ?
Non. Microsoft a reçu des informations sur cette vulnérabilité via la divulgation coordonnée des vulnérabilités.
Lors de la publication de ce bulletin de sécurité, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information indiquant que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients lors de l’émission initiale de ce bulletin de sécurité.
Outils et conseils pour la détection et le déploiement
Plusieurs ressources sont disponibles pour aider les administrateurs à déployer des mises à jour de sécurité.
- Microsoft Baseline Security Analyzer (MBSA) permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et les erreurs de configuration de sécurité courantes.
- Windows Server Update Services (WSUS), Systems Management Server (SMS) et System Center Configuration Manager aider les administrateurs à distribuer les mises à jour de sécurité.
- Les composants de l’évaluateur de compatibilité des mises à jour inclus dans application Compatibility Toolkit aident à simplifier le test et la validation des mises à jour Windows par rapport aux applications installées.
Pour plus d’informations sur ces outils et d’autres outils disponibles, consultez Outils de sécurité pour les professionnels de l’informatique.
Remarque pour SharePoint Server Les outils de détection (tels que Microsoft Update, WSUS, MBSA, SMS et System Center Configuration Manager) s’appliquent aux déploiements Microsoft SharePoint Server à serveur unique. Les outils de détection ne détectent pas l’applicabilité des mises à jour sur les systèmes configurés dans le cadre d’une batterie de serveurs SharePoint à plusieurs systèmes. Pour obtenir des instructions recommandées sur la façon d’appliquer des mises à jour à SharePoint Server, consultez Déployer des mises à jour logicielles pour SharePoint 2013.
Déploiement des mises à jour de sécurité
SharePoint Server 2013 (toutes les éditions) et SharePoint Foundation 2013 (toutes les versions)
Table de référence
Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.
| Nom du fichier de mise à jour de sécurité | Pour Microsoft SharePoint Server 2013 et Microsoft SharePoint Foundation 2013 :\ sts2013-kb2880994-fullfile-x64-glb.exe |
|---|---|
| Commutateurs d’installation | Consultez l’article de la Base de connaissances Microsoft 912203 |
| Redémarrage requis | Dans certains cas, cette mise à jour ne nécessite pas de redémarrage. Si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche et vous conseille de redémarrer.\ \ Pour réduire le risque qu’un redémarrage soit nécessaire, arrêtez tous les services affectés et fermez toutes les applications qui peuvent utiliser les fichiers concernés avant d’installer la mise à jour de sécurité. Pour plus d’informations sur les raisons pour lesquelles vous pouvez être invité à redémarrer, consultez l’article de la Base de connaissances Microsoft 887012. |
| Informations sur la suppression | Cette mise à jour de sécurité ne peut pas être supprimée. |
| informations relatives aux fichiers | Pour Microsoft SharePoint Server 2013 et Microsoft SharePoint Foundation 2013 :\ 2880994 de l’article de la Base de connaissances Microsoft |
| Vérification de la clé de Registre | Non applicable |
Autres informations
Microsoft Active Protections Program (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels qu’un antivirus, des systèmes de détection d’intrusion basés sur le réseau ou des systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, accédez aux sites web des protections actives fournis par les partenaires du programme, répertoriés dans Partenaires du programme Microsoft Active Protections (MAPP).
Support
Comment obtenir de l’aide et du support pour cette mise à jour de sécurité
- Aide à l’installation des mises à jour : Prise en charge de Microsoft Update
- Solutions de sécurité pour les professionnels de l’informatique : Résolution des problèmes et support de la sécurité TechNet
- Protéger votre ordinateur qui exécute Windows contre les virus et les programmes malveillants : Antivirus Solution et Security Center
- Support local en fonction de votre pays : Support international
Clause d'exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie d’aucune sorte. Microsoft rejette toutes les garanties, expresses ou implicites, y compris les garanties de qualité marchande et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne peuvent être tenus responsables de quelque dommage que ce soit, y compris les dommages directs, indirects, accessoires, consécutifs, la perte de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas s’appliquer.
Révisions
- V1.0 (12 août 2014) : Bulletin publié.
Page générée 2014-08-06 16:54Z-07:00.