CERTA-2001-AVI-023

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité de l'observateur d'événements (Event Viewer) de Windows 2000 permet à un utilisateur mal intentionné de bloquer l'observateur d'événements lorsqu'un utilisateur ouvre cet outil d'administration, voire exécuter du code arbitraire avec les privilèges de ce dernier.

Description

L'observateur d'événements est un outil de Windows 2000 (et Windows NT) permettant de dépouiller les journaux d'événements d'un de ces systèmes.

L'observateur d'événements ne peut pas être exécuté à distance. Il peut être manipulé par un utilisateur sans privilège pour les journaux système et application mais est le plus souvent utilisé par l'administrateur qui peut en plus visualiser le journal sécurité.

Il contient une fonction détails qui permet d'obtenir plus d'informations sur un événement particulier du journal observé.

Une vulnérabilité dans cette fonction permet à un utilisateur mal intentionné d'enregistrer un événement habilement construit (par un programme développé par ce dernier) qui fera déborder la pile lors de sa visualisation. Si c'est l'administrateur qui dépouille les journaux, l'événement construit peut exécuter du code avec les privilèges de celui-ci.

Solution

Appliquer le correctif Microsoft :

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27842

Pour Windows 2000 Datacenter Server, les correctifs dépendent du matériel et sont à demander au fabriquant d'origine de la machine.

Windows 2000

  • Professional Edition
  • Server
  • Advanced Server
  • Datacenter Server
Impacted products
Vendor Product Description
References
Bulletin de sécurité Microsoft None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eWindows 2000\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eProfessional Edition\u003c/LI\u003e    \u003cLI\u003eServer\u003c/LI\u003e    \u003cLI\u003eAdvanced Server\u003c/LI\u003e    \u003cLI\u003eDatacenter Server\u003c/LI\u003e  \u003c/UL\u003e",
  "content": "## Description\n\nL\u0027observateur d\u0027\u00e9v\u00e9nements est un outil de Windows 2000 (et Windows NT)\npermettant de d\u00e9pouiller les journaux d\u0027\u00e9v\u00e9nements d\u0027un de ces syst\u00e8mes.\n\nL\u0027observateur d\u0027\u00e9v\u00e9nements ne peut pas \u00eatre ex\u00e9cut\u00e9 \u00e0 distance. Il peut\n\u00eatre manipul\u00e9 par un utilisateur sans privil\u00e8ge pour les journaux\nsyst\u00e8me et application mais est le plus souvent utilis\u00e9 par\nl\u0027administrateur qui peut en plus visualiser le journal s\u00e9curit\u00e9.\n\nIl contient une fonction d\u00e9tails qui permet d\u0027obtenir plus\nd\u0027informations sur un \u00e9v\u00e9nement particulier du journal observ\u00e9.\n\nUne vuln\u00e9rabilit\u00e9 dans cette fonction permet \u00e0 un utilisateur mal\nintentionn\u00e9 d\u0027enregistrer un \u00e9v\u00e9nement habilement construit (par un\nprogramme d\u00e9velopp\u00e9 par ce dernier) qui fera d\u00e9border la pile lors de sa\nvisualisation. Si c\u0027est l\u0027administrateur qui d\u00e9pouille les journaux,\nl\u0027\u00e9v\u00e9nement construit peut ex\u00e9cuter du code avec les privil\u00e8ges de\ncelui-ci.\n\n## Solution\n\nAppliquer le correctif Microsoft :\n\n    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27842\n\nPour Windows 2000 Datacenter Server, les correctifs d\u00e9pendent du\nmat\u00e9riel et sont \u00e0 demander au fabriquant d\u0027origine de la machine.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2001-AVI-023",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-02-28T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 de l\u0027observateur d\u0027\u00e9v\u00e9nements (\u003cspan\nclass=\"textit\"\u003eEvent Viewer\u003c/span\u003e) de Windows 2000 permet \u00e0 un\nutilisateur mal intentionn\u00e9 de bloquer l\u0027observateur d\u0027\u00e9v\u00e9nements\nlorsqu\u0027un utilisateur ouvre cet outil d\u0027administration, voire ex\u00e9cuter\ndu code arbitraire avec les privil\u00e8ges de ce dernier.\n",
  "title": "D\u00e9passement de m\u00e9moire dans l\u0027observateur d\u0027\u00e9v\u00e9nements de Windows 2000",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS01-013.asp"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.