Alerte de sécurité sur les sites utilisant une technologie SharePoint

Microsoft a publié un bulletin de sécurité sur le produit SharePoint ( WSS 3 et Moss 2007 ).
La faille consiste en une attaque par un détournement des fichiers d’aide.
Du coup la solution actuelle en l’absence de correctif consiste à désactiver l’aide.
Pour ce faire on change les permissions ntfs du fichier 
« %ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx »

Pour aller plus en détail, c’est icihttp://www.microsoft.com/technet/security/advisory/983438.mspx

Solution de contournement :

Run the following commands from a command prompt: 

cacls « %ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx » /E /P everyone:N 

cacls « %ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx » /E /P everyone:N

Impact of workaround. This workaround will disable all help functionality from the SharePoint server.

How to undo the workaround.

Run the following commands from a command prompt:

takeown /f « %ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx »

takeown /f « %ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx »

cacls « %ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx » /E /R everyone 

cacls « %ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx » /E /R everyone