CERTA-2001-AVI-044

Vulnerability from certfr_avis - Published: - Updated:

Un utilisateur mal intentionné peut, par le biais d'une requête HTTP malformée, créer un deni de service sur un relais HTTP.

Description

ISA Server 2000 est un logiciel conçu pour Windows 2000 intégrant un garde barrière ainsi qu'un service de relayage HTTP.

Un utilisateur local lançant, lors de la consultation de sites internet, une requête HTTP trop longue provoque un arrêt brutal du service de relais HTTP obligeant l'administrateur à relancer ce service.

Dans la configuration par défaut cette fonction n'est pas accessible depuis l'extérieur. Cependant un mél contenant une URL malformée expédié à un destinataire intérieur peut provoquer l'arrêt du service lorsque le destinataire clique sur le lien.

Solution

Appliquer le correctif Microsoft :

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29081

Microsoft ISA Server 2000.

Impacted products
Vendor Product Description
References
Bulletin Microsoft MS01-021 None vendor-advisory
Bulletin Microsoft : - other

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eMicrosoft ISA Server 2000.\u003c/P\u003e",
  "content": "## Description\n\nISA Server 2000 est un logiciel con\u00e7u pour Windows 2000 int\u00e9grant un\ngarde barri\u00e8re ainsi qu\u0027un service de relayage HTTP.\n\nUn utilisateur local lan\u00e7ant, lors de la consultation de sites internet,\nune requ\u00eate HTTP trop longue provoque un arr\u00eat brutal du service de\nrelais HTTP obligeant l\u0027administrateur \u00e0 relancer ce service.\n\nDans la configuration par d\u00e9faut cette fonction n\u0027est pas accessible\ndepuis l\u0027ext\u00e9rieur. Cependant un m\u00e9l contenant une URL malform\u00e9e exp\u00e9di\u00e9\n\u00e0 un destinataire int\u00e9rieur peut provoquer l\u0027arr\u00eat du service lorsque le\ndestinataire clique sur le lien.\n\n## Solution\n\nAppliquer le correctif Microsoft :\n\n    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29081\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin Microsoft :",
      "url": "http://www.microsoft.com/technet/security/bulletin/ms01-021.asp"
    }
  ],
  "reference": "CERTA-2001-AVI-044",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-04-20T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Un utilisateur mal intentionn\u00e9 peut, par le biais d\u0027une requ\u00eate HTTP\nmalform\u00e9e, cr\u00e9er un deni de service sur un relais HTTP.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Microsoft ISA Server 2000",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin Microsoft MS01-021",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.