CERTA-2001-AVI-093

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité présente dans le module RPC endpoint mapper permet à un utilisateur mal intentionné, par le biais d'un paquet astucieusement construit vers le port 135 de la machine cible, d'engendrer un déni de service sur le service RPC.

Description

Le système RPC permet, lors d'utilisation d'applications réparties, d'appeler des fonctions situées sur une machine distante.

RPC emploie le protocole IP (TCP ou UDP) pour communiquer avec ses clients. Un service RPC, disponible sur deux machines différentes, peut employer un port différent pour chacune des machines. Avant le départ d'une session RPC, la machine cliente consulte RPC endpoint mapper sur le serveur pour connaître le port utilisé par RPC sur une machine déterminée.

Un paquet malformé envoyé vers le port 135 du module RPC endpoint mapper peut faire échouer ce service, rendant tous les services RPC indisponibles.

Contournement provisoire

Pour se prémunir contre les attaques provenant de l'internet, il convient de bloquer le port 135/TCP au niveau du garde barrière.

Solution

Télécharger le correctif sur le site Microsoft :

  • Windows NT 4.0 Workstation, Server, Server Enterprise Edition :

    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32503

  • Le correctif pour NT 4.0 Terminal Server Edition n'est actuellement pas disponible sur le site.

Microsoft Windows NT 4.0.

Impacted products
Vendor Product Description
References
Bulletin Microsoft MS01-048 None vendor-advisory
Bulletin Microsoft : - other

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eMicrosoft Windows NT 4.0.\u003c/P\u003e",
  "content": "## Description\n\nLe syst\u00e8me RPC permet, lors d\u0027utilisation d\u0027applications r\u00e9parties,\nd\u0027appeler des fonctions situ\u00e9es sur une machine distante.\n\nRPC emploie le protocole IP (TCP ou UDP) pour communiquer avec ses\nclients. Un service RPC, disponible sur deux machines diff\u00e9rentes, peut\nemployer un port diff\u00e9rent pour chacune des machines. Avant le d\u00e9part\nd\u0027une session RPC, la machine cliente consulte RPC endpoint mapper sur\nle serveur pour conna\u00eetre le port utilis\u00e9 par RPC sur une machine\nd\u00e9termin\u00e9e.\n\nUn paquet malform\u00e9 envoy\u00e9 vers le port 135 du module RPC endpoint mapper\npeut faire \u00e9chouer ce service, rendant tous les services RPC\nindisponibles.\n\n## Contournement provisoire\n\nPour se pr\u00e9munir contre les attaques provenant de l\u0027internet, il\nconvient de bloquer le port 135/TCP au niveau du garde barri\u00e8re.\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif sur le site Microsoft :\n\n-   Windows NT 4.0 Workstation, Server, Server Enterprise Edition :\n\n        http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32503\n\n-   Le correctif pour NT 4.0 Terminal Server Edition n\u0027est actuellement\n    pas disponible sur le site.\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin Microsoft :",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS01-048.asp"
    }
  ],
  "reference": "CERTA-2001-AVI-093",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-09-12T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans le module RPC endpoint mapper permet \u00e0\nun utilisateur mal intentionn\u00e9, par le biais d\u0027un paquet astucieusement\nconstruit vers le port 135 de la machine cible, d\u0027engendrer un d\u00e9ni de\nservice sur le service RPC.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans le serveur RPC sous Windows NT 4.0",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin Microsoft MS01-048",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.