Risque
- Déni de service ;
- atteinte à la confidentialité des données.
Systèmes affectés
- Microsoft Windows 2000 Service Pack 4 ;
- Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2 ;
- Microsoft Windows XP Professional x64 Edition ;
- Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1 ;
- Microsoft Windows Server 2003 (systèmes Itanium) et Microsoft Windows Server 2003 Service Pack 1 (systèmes Itanium) ;
- Microsoft Windows Server 2003 x64 Edition.
Résumé
De multiples vulnérabilités présentes dans le service Kerberos de Microsoft Windows permettent à un utilisateur mal intentionné de provoquer un déni de service ou de porter atteinte à la confidentialité des données de la machine vulnérable.
Description
Le service Kerberos de Windows présente deux vulnérabilités :
- La première vulnérabilité (CAN-2005-1981) permet à un utilisateur mal intentionné du réseau local de provoquer un déni de service sur le système d'authentification des utilisateurs d'un contrôleur de domaine par le biais d'un message malicieusement construit.
- La deuxième vulnérabilité (CAN-2005-1982) permet à un utilisateur mal intentionné du réseau local de porter atteinte à la confidentialité des données en substituant un contrôleur de domaine par son propre serveur.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS05-042 du 09 août 2005 :
http://www.microsoft.com/technet/security/Bulletin/MS05-042.mspx
- Référence CVE CAN-2005-1981 :
https://www.cve.org/CVERecord?id=CAN-2005-1981
- Référence CVE CAN-2005-1982 :
https://www.cve.org/CVERecord?id=CAN-2005-1982
