S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 14 novembre 2007
N° CERTA-2007-AVI-495
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité du client Novell Netware pour Windows

Gestion du document

Référence CERTA-2007-AVI-495
Titre Vulnérabilité du client Novell Netware pour Windows
Date de la première version14 novembre 2007
Date de la dernière version14 novembre 2007
Source(s) Bulletin de sécurité Novell #3260263
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Exécution de code arbitraire
  • Élévation de privilèges

Systèmes affectés

  • Novell Client for Windows 2000/XP/2003 Support Pack 1 ;
  • Novell Client for Windows 2000/XP/2003 Support Pack 1a ;
  • Novell Client for Windows 2000/XP/2003 Support Pack 2 ;
  • Novell Client for Windows 2000/XP/2003 Support Pack 3 ;
  • Novell Client for Windows 2000/XP/2003 Support Pack 4.

Résumé

Une vulnérabilité dans le client Novell Netware pour Windows permet à un utilisateur local d'exécuter du code arbitraire et d'élever ses privilèges.

Description

Une vulnérabilité a été identifiée dans le client Novell Netware pour Windows. Celle-ci est due à un manque de contrôle dans les paramètres passés à un appel système du pilote NWFILTER.SYS intégré à ce client. Elle permet à un utilisateur local d'exécuter du code arbitraire dans le contexte du noyau du système d'exploitation.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 14 novembre 2007
    version initiale.