S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 25 juillet 2002
N° CERTA-2002-AVI-158
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Microsoft Metadirectory Services

Gestion du document

Référence CERTA-2002-AVI-158
Titre Vulnérabilité dans Microsoft Metadirectory Services
Date de la première version 25 juillet 2002
Date de la dernière version 25 juillet 2002
Source(s) Bulletin de sécurité MS02-036 de Microsoft
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

Microsoft Metadirectory Services 2.2

Résumé

Un utilisateur mal intentionné peut obtenir les privilèges de l'administrateur, en contournant les mécanismes d'authentification.

Description

Microsoft Metadirectory Services (MMS) est un service qui permet d'assurer des fonctions d'interconnection, d'interopérabilité et de gestion centralisée de bases de données et d'annuaires, distribués et hétérogènes.

Un défaut dans les mécanismes d'authentification permet à un utilisateur mal intentionné de contourner ces mécanismes et d'obtenir les privilèges de l'administrateur.

Contournement provisoire

Le filtrage du port 389 permet d'éviter l'exploitation de cette vulnérabilité par un utilisateur se trouvant à l'extérieur du réseau.

Solution

Appliquer le patch pour Microsoft Metadirectory Services 2.2 Service Pack 1 fournit par Microsoft :

http://download.microsoft.com/download/mms22/Patch/Q317138/NT5/EN-US/Q317138.EXE

Documentation

Gestion détaillée du document

    le 25 juillet 2002
    version initiale.