Risques
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Windows 2000 Service Pack 4 ;
- Microsoft Windows Server 2003 ;
- Microsoft Windows Server 2003 Service Pack 1.
Des versions de Windows qui ne sont plus officiellement maintenues par Microsoft peuvent aussi être affectées.
Résumé
Des vulnérabilités ont été identifiées dans le service Client pour NetWare (ou Client Service for NetWare CSNW) de Microsoft Windows. Une personne qui exploiterait celles-ci à distance pourrait, sous certaines conditions, exécuter des commandes arbitraires, ou perturber le service.
Description
Des vulnérabilités ont été identifiées dans le service Client pour NetWare (ou CSNW). CSNW permet un échange d'informations entre des machines Windows et des systèmes Novell NetWare (service d'impression, de stockage, etc). Ce service peut aussi s'appeler Gateway Service pour NetWare (GSNW) avec Windows 2000 Server.
Une personne malveillante pourrait construire des paquets particuliers, afin d'exploiter l'une de ces vulnérabilités. Si le système distant est vulnérable, la mauvaise manipulation des données reçues pourrait alors provoquer l'exécution de code arbitraire., ou perturber le service.
Solution
Se référer au bulletin de sécurité MS06-066 de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS06-066 du 14 novembre 2006 http://www.microsoft.com/technet/security/Bulletin/MS06-066.mspx
- Bulletin de sécurité Microsoft MS06-066 http://www.microsoft.com/france/technet/security/Bulletin/MS06-066.mspx
- Référence CVE CVE-2006-4688 https://www.cve.org/CVERecord?id=CVE-2006-4688
- Référence CVE CVE-2006-4689 https://www.cve.org/CVERecord?id=CVE-2006-4689
