{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Microsoft Windows 2000.</P>","content":"## Description\n\nSMTP est le protocole utilis\u00e9 par les serveurs de courrier. Lorsque le\nservice SMTP est install\u00e9 sous Windows 2000, le serveur virtuel SMTP par\nd\u00e9faut est activ\u00e9.\n\nSous Windows 2000, il est possible d'utiliser des options de s\u00e9curit\u00e9 au\nniveau d'un serveur virtuel SMTP. Un de ces param\u00e8tres permet de\nsp\u00e9cifier le type d'authentification utilis\u00e9 pour les messages entrant.\n\nUn utilisateur mal intentionn\u00e9 peut, lors de l'authentification au\nserveur virtuel SMTP, contourner les m\u00e9canismes de v\u00e9rification et\ns'enregistrer comme un utilisateur connu. Il a alors la possibilit\u00e9\nd'exp\u00e9dier et de recevoir des m\u00e9ls en utilisant le nom de domaine de la\nmachine cible.\n\nCette vuln\u00e9rabilit\u00e9 peut \u00eatre utilis\u00e9e notamment pour diffuser du\ncourrier non sollicit\u00e9 tout en usurpant le point d'origine du courrier.\n\nNota :\n\n-   Cette vuln\u00e9rabilit\u00e9 n'affecte pas Microsoft Exchange.\n-   Les serveurs appartenant \u00e0 un domaine Windows ne sont pas impact\u00e9s\n    par cette vuln\u00e9rabilit\u00e9.\n\n## Contournement provisoire\n\nSi ce service n'est pas n\u00e9cessaire sur une machine Windows 2000, il\nconvient de le stopper.\n\n-   Dans le menu D\u00e9marrer, pointer sur Programmes, puis sur Outils\n    d'administration et cliquer ensuite sur Services de composants ;\n-   Dans l'arborescence de la console, selectionner Services (locaux) ;\n-   Dans le volet de d\u00e9tails, cliquer avec le bouton droit sur Simple\n    Mail Transfert Protocol, puis cliquer sur Arr\u00eater.\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif sur le site Microsoft :\n\n    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31181\n","cves":[],"links":[{"title":"Bulletin Microsoft :","url":"http://www.microsoft.com/technet/security/bulletin/MS01-037.asp"}],"reference":"CERTA-2001-AVI-078","revisions":[{"description":"version initiale.","revision_date":"2001-07-19T00:00:00.000000"}],"risks":[{"description":"Risque de diffusion de courrier non sollicit\u00e9"},{"description":"Usurpation d'identit\u00e9"}],"summary":"Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans le protocole d'identification SMTP sous\nWindows 2000 permet \u00e0 un utilisateur mal intentionn\u00e9 de s'identifier\naupr\u00e8s du serveur de courrier comme un utilisateur connu.\n","title":"Vuln\u00e9rabilit\u00e9 de l'identification SMTP sous Windows 2000","vendor_advisories":[{"published_at":null,"title":"Bulletin Microsoft MS01-037","url":null}]}