CERTA-2000-AVI-025

Vulnerability from certfr_avis - Published: - Updated:

Le protocole IPX de Windows 95 et Windows 98 traite les paquets dont la source est une adresse de diffusion (broadcast)au lieu de les ignorer. Un correctif a été mis au point pour corriger cette erreur.

Description

IPX est un protocole de communication réseau développé par Novell. Comme dans le protocole TCP/IP, la notion de diffusion (broadcast) existe sous IPX. Une adresse de diffusion est une adresse faisant référence à tout le réseau. Lorsqu'elle est utilisée comme adresse de destination d'un paquet, le paquet est envoyé à tout le réseau.

Une erreur dans la façon de traiter les paquets « Ping » IPX a été découverte dans l'implémentation de ce protocole sous Windows 9x.

Une machine vulnérable qui reçoit un paquet IPX ping ayant pour adresse source l'adresse de diffusion du réseau, va envoyer une réponse à tout le réseau au lieu de rejeter le paquet.

De plus si l'émetteur de ce paquet utilise une adresse de diffusion comme destination, toutes les machines vulnérables renverront une réponse à tout le réseau. Ceci aura pour conséquence de générer un trafic dont l'importance sera proportionnelle au nombre de machines vulnérables sur le réseau.

En conséquence, on peut observer pendant quelques secondes une surcharge brutale du trafic sur le réseau.

Enfin, une machine qui reçoit un paquet de réponse à un ping IPX qu'elle a elle-même émis (car elle se situe dans l'adresse de diffusion), tente de le traiter, ce qui peut engendrer un blocage du système. Il faut redémarrer la machine.

Nota : La plupart des routeurs filtrent le protocole IPX, ce qui rend les attaques provenant de l'extérieur d'un réseau, et donc d'internet, moins probables.

IPX n'est pas installé par défaut sous Windows 98

Solution

Appliquer les correctifs concernant le protocole IPX pour les système Windows 95 et Windows 98 (version US) :

  • Pour Windows 98 :

    http://download.microsoft.com/download/win98/Update/8982/W98/EN-US/265334USA8.EXE

  • Pour Windows 95 :

    http://download.microsoft.com/download/win95/Update/8982/W95/EN-US/265334US5.EXE

Windows 95 et Windows 98 seconde édition équipés du protocole IPX

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eWindows 95 et Windows 98 seconde \u00e9dition \u00e9quip\u00e9s du protocole  IPX\u003c/P\u003e",
  "content": "## Description\n\nIPX est un protocole de communication r\u00e9seau d\u00e9velopp\u00e9 par Novell. Comme\ndans le protocole TCP/IP, la notion de diffusion (broadcast) existe sous\nIPX. Une adresse de diffusion est une adresse faisant r\u00e9f\u00e9rence \u00e0 tout\nle r\u00e9seau. Lorsqu\u0027elle est utilis\u00e9e comme adresse de destination d\u0027un\npaquet, le paquet est envoy\u00e9 \u00e0 tout le r\u00e9seau.\n\nUne erreur dans la fa\u00e7on de traiter les paquets \u00ab Ping \u00bb IPX a \u00e9t\u00e9\nd\u00e9couverte dans l\u0027impl\u00e9mentation de ce protocole sous Windows 9x.\n\nUne machine vuln\u00e9rable qui re\u00e7oit un paquet IPX ping ayant pour adresse\nsource l\u0027adresse de diffusion du r\u00e9seau, va envoyer une r\u00e9ponse \u00e0 tout\nle r\u00e9seau au lieu de rejeter le paquet.\n\nDe plus si l\u0027\u00e9metteur de ce paquet utilise une adresse de diffusion\ncomme destination, toutes les machines vuln\u00e9rables renverront une\nr\u00e9ponse \u00e0 tout le r\u00e9seau. Ceci aura pour cons\u00e9quence de g\u00e9n\u00e9rer un\ntrafic dont l\u0027importance sera proportionnelle au nombre de machines\nvuln\u00e9rables sur le r\u00e9seau.\n\nEn cons\u00e9quence, on peut observer pendant quelques secondes une surcharge\nbrutale du trafic sur le r\u00e9seau.\n\nEnfin, une machine qui re\u00e7oit un paquet de r\u00e9ponse \u00e0 un ping IPX qu\u0027elle\na elle-m\u00eame \u00e9mis (car elle se situe dans l\u0027adresse de diffusion), tente\nde le traiter, ce qui peut engendrer un blocage du syst\u00e8me. Il faut\nred\u00e9marrer la machine.\n\nNota : La plupart des routeurs filtrent le protocole IPX, ce qui rend\nles attaques provenant de l\u0027ext\u00e9rieur d\u0027un r\u00e9seau, et donc d\u0027internet,\nmoins probables.\n\nIPX n\u0027est pas install\u00e9 par d\u00e9faut sous Windows 98\n\n## Solution\n\nAppliquer les correctifs concernant le protocole IPX pour les syst\u00e8me\nWindows 95 et Windows 98 (version US) :\n\n-   Pour Windows 98 :\n\n        http://download.microsoft.com/download/win98/Update/8982/W98/EN-US/265334USA8.EXE\n\n-   Pour Windows 95 :\n\n        http://download.microsoft.com/download/win95/Update/8982/W95/EN-US/265334US5.EXE\n",
  "cves": [],
  "links": [
    {
      "title": "FAQ concernant le bulletin MS00-054 de Microsoft",
      "url": "http://www.microsoft.com/technet/security/bulletin/fq00-054.asp"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de Microsoft :",
      "url": "http://www.microsoft.com/technet/security/bulletin/ms00-054.asp"
    },
    {
      "title": "Article Q269523 de la Base de Connaissances de Microsoft    concernant le bulletin MS00-054",
      "url": "http://www.microsoft.com/technet/support/kb.asp?ID=265334"
    }
  ],
  "reference": "CERTA-2000-AVI-025",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-08-08T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Congestion de r\u00e9seau, d\u00e9ni de service"
    }
  ],
  "summary": "Le protocole IPX de Windows 95 et Windows 98 traite les paquets dont la\nsource est une adresse de diffusion (\u003cspan\nclass=\"textit\"\u003ebroadcast\u003c/span\u003e)au lieu de les ignorer. Un correctif a\n\u00e9t\u00e9 mis au point pour corriger cette erreur.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de Windows 9x avec le protocole IPX",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de S\u00e9curit\u00e9 Microsoft",
      "url": null
    },
    {
      "published_at": null,
      "title": "Avis du CERT IST",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.