Risque
- Déni de service à distance
Systèmes affectés
- Microsoft Windows Server 2003 (Itanium) et Microsoft Windows Server 2003 Service Pack 1 (Itanium) ;
- Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1 ;
- Microsoft Windows Server 2003 x64 Edition.
- Microsoft Windows XP Professional x64 Edition ;
- Microsoft Windows XP Service Pack 1 et Service Pack 2 ;
Résumé
Trois vulnérabilités affectant la mise en oeuvre d'IPv6 sous Windows permettent de réaliser des dénis de service à distance.
Description
Trois vulnérabilités affectant la mise en oeuvre d'IPv6 sous Windows ont été découvertes. Il s'agit d'anciennes vulnérabilités qui avaient fait l'objet d'un avis du CERTA (CERTA-2005-AVI-135) et qui avaient été corrigées par Microsoft pour IPv4 seulement (bulletin de sécurité MS05-019). Ces vulnérabilités permettent de mettre fin à une connexion TCP établie ou de l'ignorer (CVE-2004-0790 et CVE-2004-0230) et d'entraîner une consommation excessive des ressources CPU (CVE-2005-0688).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS06-064 du 10 octobre 2006 http://www.microsoft.com/france/technet/security/Bulletin/MS06-064.mspx
- Avis CERTA-2005-AVI-135 du 13 avril 2005 : http://www.certa.ssi.gouv.fr/site/CERTA-2005-AVI-135/index.html
- Bulletin de sécurité Microsoft MS05-019 du 12 avril 2005 : http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspx
- Référence CVE CVE-2004-0230 https://www.cve.org/CVERecord?id=CVE-2004-0230
- Référence CVE CVE-2004-0790 https://www.cve.org/CVERecord?id=CVE-2004-0790
- Référence CVE CVE-2005-0688 https://www.cve.org/CVERecord?id=CVE-2005-0688
