• URLScan est un outil de sécurité (filtre ISAPI installé sous le serveur web IIS) utilisé pour filtrer les types de requêtes HTTP qui seront traitées par le serveur web.

• SecurID est un mécanisme d'authentification forte, développé par la société RSA permettant en particulier de sécuriser l'accès à un serveur web.

Le problème provient du fait que URLScan retourne un message particulier lorsqu'il rejette une URL. Ceci permet à un attaquant distant d'obtenir les types d'URL filtrées par cet outil, et d'énumérer la configuration de URLScan.

Le problème ne se produit que lorsque URLScan et SecurID sont utilisés ensemble sur le même serveur web et configuré d'une manière particulière.

RSA, qui a été contacté à ce sujet, propose une solution palliative : le filtre SecureID doit figurer avant le filtre URLScan dans la liste des filtres ISAPI sous Internet Service Manager (ISM est utilisé pour configurer et gérer IIS).

Pour plus d'information :

• Avis de sécurité de IRM : http://www.irmplc.com/advisory/adv6.htm
• Outil URLScan : http://www.microsoft.com/technet/security/tools/tools/urlscan.asp
• RSA SecurID : http://www.rsasecurity.com/products/securid/index.html