S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 février 2004
N° CERTA-2004-AVI-032
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Failles multiples dans la librairie ASN.1 de Microsoft

Gestion du document

Référence CERTA-2004-AVI-032
Titre Failles multiples dans la librairie ASN.1 de Microsoft
Date de la première version11 février 2004
Date de la dernière version11 février 2004
Source(s) Avis de sécurité de l'US-CERT
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance avec les privilèges system. les failles seraient identifiées depuis septembre 2003

Systèmes affectés

Microsoft Windows NT4, 2000, XP et Server 2003.

Résumé

De multiples vulnérabilités dues à de mauvaises gestions des tampons ont été identifiées. Elles peuvent être utilisés, par un utilisateur mal intentionné, pour exécuter du code arbitraire à distance, sans même s'authentifier.

Description

ASN.1 (Abstract Syntax Notation One) est un langage standardisé servant à encoder des informations. Il est, par exemple, utilisé par le protocole SNMP ou les certificats X509 nécessaires pour le transport SSL/TLS et les messages chiffrés/signés S/MIME.

La bibliothèque Microsoft msan1.dll en cause est utilisée par de nombreux services cryptographiques ou d'authentification sous Windows :

  • certificats électroniques (X509),
  • Kerberos,
  • NTLMv2,
  • SSL/TLS,...

Solution

Mettre les systèmes d'exploitation (serveurs comme clients) à jour, en se réferant au bulletin du constructeur.

Documentation

Gestion détaillée du document

    le 11 février 2004
    version initiale.