Vunérabilté dans Microsoft Windows Licence Logging Service

Gestion du document

Référence	CERTA-2005-AVI-051
Titre	Vunérabilté dans Microsoft Windows Licence Logging Service
Date de la première version	09 février 2005
Date de la dernière version	09 février 2005
Source(s)	Bulletin de sécurité Microsoft MS05-010
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service depuis un réseau local ;
exécution de code arbitraire depuis un réseau local.

Systèmes affectés

Microsoft Windows 2000 Server ;
Microsoft Windows NT4.0 Server ;
Microsoft Windows NT4.0 Server, édition Terminal Server ;
Microsoft Windows Server 2003 édition Datacenter ;
Microsoft Windows Server 2003 édition entreprise ;
Microsoft Windows Server 2003 édition standard ;
Microsoft Windows Server 2003 édition web.

Résumé

Une vulnérabilité présente dans le service d'enregistrement des licences sous Microsoft Windows permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter un code arbitraire sur le système ayant le service vulnérable activé.

Description

Microsoft Windows Licence Logging Service (LLS) est un service d'enregistrement des licences pour les serveurs Microsoft.

Kostya Kortchinsky du CERT Renater a découvert une vulnérabilité dans le service LLS qui peut être exploitée par un utilisateur mal intentionné du réseau local pour exécuter du code arbitraire sur le système ayant le service vulnérable. La vulnérabilité peut être exploitée par l'envoi d'un message malicieusement construit pour réaliser un débordement de mémoire sur le service vulnérable.

Solution

Se référer aux bulletins de sécurité des éditeurs (cf. section Documentation) pour l'obtention des correctifs.

Documentation

Bulletin de sécurité Microsoft MS05-010 du 8 février 2005 :

http://www.microsoft.com/technet/security/bulletin/ms05-010.mspx

Référence CVE CAN-2005-0050 :

https://www.cve.org/CVERecord?id=CAN-2005-0050

Avis du CERT-FR

Objet: Vunérabilté dans Microsoft Windows Licence Logging Service