CERTA-2004-AVI-032
Vulnerability from certfr_avis - Published: - Updated:
De multiples vulnérabilités dues à de mauvaises gestions des tampons ont été identifiées. Elles peuvent être utilisés, par un utilisateur mal intentionné, pour exécuter du code arbitraire à distance, sans même s'authentifier.
Description
ASN.1 (Abstract Syntax Notation One) est un langage standardisé servant à encoder des informations. Il est, par exemple, utilisé par le protocole SNMP ou les certificats X509 nécessaires pour le transport SSL/TLS et les messages chiffrés/signés S/MIME.
La bibliothèque Microsoft msan1.dll en cause est utilisée par de nombreux services cryptographiques ou d'authentification sous Windows :
- certificats électroniques (X509),
- Kerberos,
- NTLMv2,
- SSL/TLS,...
Solution
Mettre les systèmes d'exploitation (serveurs comme clients) à jour, en se réferant au bulletin du constructeur.
Microsoft Windows NT4, 2000, XP et Server 2003.
Impacted products
| Vendor | Product | Description |
|---|
References
| Title | Publication Time | Tags | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eMicrosoft Windows NT4, 2000, XP et Server 2003.\u003c/P\u003e",
"content": "## Description\n\nASN.1 (Abstract Syntax Notation One) est un langage standardis\u00e9 servant\n\u00e0 encoder des informations. Il est, par exemple, utilis\u00e9 par le\nprotocole SNMP ou les certificats X509 n\u00e9cessaires pour le transport\nSSL/TLS et les messages chiffr\u00e9s/sign\u00e9s S/MIME.\n\nLa biblioth\u00e8que Microsoft msan1.dll en cause est utilis\u00e9e par de\nnombreux services cryptographiques ou d\u0027authentification sous Windows :\n\n- certificats \u00e9lectroniques (X509),\n- Kerberos,\n- NTLMv2,\n- SSL/TLS,...\n\n## Solution\n\nMettre les syst\u00e8mes d\u0027exploitation (serveurs comme clients) \u00e0 jour, en\nse r\u00e9ferant au bulletin du constructeur.\n",
"cves": [],
"links": [
{
"title": "Avis TA04-041A de l\u0027US-CERT :",
"url": "http://www.us-cert.gov/cas/techalerts/TA04-041A.html"
},
{
"title": "Avis Microsoft MS004-007 :",
"url": "http://microsoft.com/technet/security/bulletin/MS04-007.asp"
}
],
"reference": "CERTA-2004-AVI-032",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2004-02-11T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance avec les privil\u00e8ges system. les failles seraient identifi\u00e9es depuis septembre 2003"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s dues \u00e0 de mauvaises gestions des tampons ont\n\u00e9t\u00e9 identifi\u00e9es. Elles peuvent \u00eatre utilis\u00e9s, par un utilisateur mal\nintentionn\u00e9, pour ex\u00e9cuter du code arbitraire \u00e0 distance, sans m\u00eame\ns\u0027authentifier.\n",
"title": "Failles multiples dans la librairie ASN.1 de Microsoft",
"vendor_advisories": [
{
"published_at": null,
"title": "Avis de s\u00e9curit\u00e9 de l\u0027US-CERT",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…