La faille, qui affecte IIS 5 et 6 (les versions plus récentes ne sont pas concernées semble-t-il) a été découverte par Nicolaos Rangos, lequel a publié un bulletin d’alerte tout en prévenant que le défaut permet à la fois de contourner les mécanismes d’authentification et d’injecter des données –du code- à distance. Les différents Cert et Sans ont immédiatement réagi –notamment le CertA, et Thierry Zoller en a tiré un article expliquant par le menu les principes généraux de cette vulnérabilité. Il faudra attendre quelques jours pour que le MSRC réagisse à son tour, et publie coup sur coup une alerte et un billet sur le blog de l’équipe. Il est vivement recommandé, en attendant que soit publiée une rustine, de désactiver WebDav de ces anciennes éditions d’IIS. Chose plus aisée à dire qu’à mettre en application, si l’on se réfère aux liens fournis par Thierry Zoller.