2024-03-14

Bulletin de sécurité

Bulletin de sécurité Microsoft MS04-008 - Modéré

La vulnérabilité dans Services Windows Media pourrait autoriser un déni de service (832359)

Publication : 09 mars 2004

Version : 1.0

Émis : 9 mars 2004
Version : 1.0

Résumé

Qui devez lire ce document :
Clients qui utilisent Microsoft® Windows® 2000

Impact de la vulnérabilité :
Déni de service

Évaluation de gravité maximale :
Modéré

Recommandation :
Les administrateurs de systèmes doivent envisager d’appliquer la mise à jour de sécurité aux systèmes exécutant Windows 2000 Server et qui ont Services Windows Media 4.1 installé.

Remplacement des mises à jour de sécurité :
Aucun

Avertissements :
Aucun

Emplacements de téléchargement des mises à jour logicielles et des mises à jour de sécurité testés :

Logiciel affecté

Microsoft Windows 2000 Server Service Pack 2, Microsoft Windows 2000 Server Service Pack 3, Microsoft Windows 2000 Server Service Pack 4 -Télécharger la mise à jour

Logiciels non affectés

Microsoft Windows NT® Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
Microsoft Windows 2000 Professional Service Pack 2, Microsoft Windows 2000 Professional Service Pack 3, Microsoft 2000 Professional Service Pack 4
Microsoft Windows XP, Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64 Bits Edition Service Pack 1
Microsoft Windows XP 64 bits Edition version 2003
Microsoft Windows Server™ 2003
Microsoft Windows Server 2003 64 bits Edition

Composants Microsoft Windows testés :

Composants affectés :

Services Windows Media 4.1 (inclus avec Microsoft Windows 2000 Server)

Composants non affectés :

série Services Windows Media 9.0 (incluse avec Microsoft Windows Server 2003)
Services Windows Media 4.1 (disponible en téléchargement pour Windows NT4 Server)

Le logiciel répertorié ci-dessus a été testé pour déterminer si les versions sont affectées. D’autres versions n’incluent plus la prise en charge des correctifs de sécurité ou peuvent ne pas être affectées. Consultez le site web Support Microsoft cycle de vie pour déterminer le cycle de vie de prise en charge de votre produit et de votre version.

Informations générales

Détails techniques

Description technique :

Une vulnérabilité existe en raison de la façon dont windows Media Station Service et Windows Media Monitor Service, composants de Services Windows Media, gèrent les connexions TCP/IP. Si un utilisateur distant devait envoyer une séquence spécialement conçue de paquets TCP/IP au port d’écoute de l’un de ces services, le service peut cesser de répondre aux demandes et aucune connexion supplémentaire n’est possible. Le service doit être redémarré pour récupérer ses fonctionnalités.

Services Windows Media est constitué de Services Windows Media Administration istrateur et de quatre composants Services Windows Media s’exécutant sur un seul ordinateur :

À l’aide du service monodiffusion Windows Media, le contenu Windows Media peut être diffusé en continu via une monodiffusion, à l’aide de TCP ou UDP comme transport, vers Microsoft Lecteur multimédia Windows ou vers un autre serveur Windows Media.

Windows Media Station Service exécute trois fonctions clés :

Il organise un ou plusieurs flux de contenu (également appelés « playlist » ou « programme ») pour la diffusion en continu ultérieure.
Il multidiffusion la playlist ou le programme pour Lecteur multimédia Windows ou vers un autre serveur Windows Media.
Il distribue la playlist ou le programme localement au service monodiffusion Windows Media pour la monodiffusion ultérieure à Lecteur multimédia Windows ou à un autre serveur Windows Media.

Windows Media Program Service est un service dépendant du service Windows Media Station. Windows Media Program Service permet à l’administrateur du serveur de créer des playlists de contenu Windows Media à l’aide de Services Windows Media Administration istrator et de conserver ces playlists pour une utilisation ultérieure.

Le service Windows Media Monitor est la console d’administration de Services Windows Media.

Notez que le service de monodiffusion Windows Media peut également être affecté par une attaque réussie contre windows Media Station Service si windows Media Unicast Service approvisionne une playlist à partir de Windows Media Station Service. Dans ce cas, windows Media Unicast Service peut cesser de fonctionner lorsqu’il rencontre l’élément suivant dans la playlist. Un administrateur peut diffuser en continu des médias à l’aide du service Monocast Windows Media sans playlist.

Facteurs d’atténuation :

Le composant Services Windows Media n’est pas installé par défaut.
Services Windows Media pouvez être configuré pour offrir un média de diffusion en continu sur monodiffusion uniquement et ne serait alors pas affecté par cette vulnérabilité. Cette configuration signifierait que différents flux multimédias du même serveur n’ont pas pu être ajoutés à une playlist.
Microsoft recommande aux clients d’activer le service monodiffusion Windows Media uniquement sur les sockets et ports accessibles sur Internet et non sur les autres composants de Services Windows Media. Si cette pratique est suivie, la surface d’attaque ne sera pas exposée à Internet.
Les clients qui administrent leurs serveurs Services Windows Media directement à partir de la console ou via une session Terminal Services ne sont pas affectés par les tentatives de déni de service réussies contre le service Windows Media Monitor. Le service Windows Media Monitor n’est pas accessible à distance uniquement localement.
Si vous avez désactivé le service Windows Media Station et le service Windows Media Monitor, vous n’êtes pas affecté par cette vulnérabilité.

Évaluation de gravité :


Microsoft Windows 2000 Server	Modéré

L’évaluation ci-dessus est basée sur les types de systèmes affectés par la vulnérabilité, leurs modèles de déploiement classiques et l’effet que l’exploitation de la vulnérabilité aurait sur eux.

Identificateur de vulnérabilité :CAN-2003-0905

Solutions de contournement

Microsoft a testé les solutions de contournement suivantes. Ces solutions de contournement ne corrigent pas la vulnérabilité sous-jacente. Toutefois, ils aident à bloquer les vecteurs d’attaque connus. Les solutions de contournement peuvent réduire les fonctionnalités dans certains cas ; dans ce cas, la réduction des fonctionnalités est identifiée ci-dessous.

Bloquez les ports 7007 et 7778 sur votre pare-feu.

Si vous ne diffusez pas de média via TCP vers Internet, vous pouvez bloquer le port TCP 7007. En outre, bloquez le port 7778, qui est utilisé pour administrer Services Windows Media via le service Windows Media Monitor. Services Windows Media utilise ces ports. En bloquant ces ports sur le pare-feu, vous pouvez empêcher les systèmes qui se trouvent derrière le pare-feu d’être attaqués par des tentatives d’exploitation de cette vulnérabilité.

Impact de la solution de contournement : si vous bloquez le port 7007, vous empêcherez les flux de multidiffusion et l’activation des playlists de fonctionner sur le pare-feu. Si vous bloquez le port 7778, vous empêchez les fonctions administratives de fonctionner sur le pare-feu.
Administration ister votre Services Windows Media à partir de la console ou via une session Terminal Services.

Administration ister vos serveurs Services Windows Media directement à partir de la console ou via une session Terminal Services. Si vous effectuez cette opération, vous ne serez pas affecté par les tentatives de déni de service réussies contre le service Windows Media Monitor. La raison en est que le service est toujours accessible et utilisé à partir du bureau du système qui héberge Services Windows Media même après une attaque par déni de service réussie.

Impact de la solution de contournement : Aucun.
Arrêtez, désactivez ou supprimez le service Windows Media Station.

Arrêtez, désactivez ou supprimez le service Windows Media Station.

Impact de la solution de contournement : l’arrêt, la désactivation ou la suppression du service Windows Media Station entraîne la multidiffusion des flux ou l’activation des playlists à ne pas fonctionner.
Désactivez ou supprimez le service Windows Media Monitor.

Désactivez ou supprimez le service Windows Media Monitor.

Impact de la solution de contournement : la désactivation ou la suppression du service Windows Media Monitor empêchent l’administration de Services Windows Media.

Forum aux questions

Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité de déni de service . Un attaquant qui a réussi à exploiter la vulnérabilité peut entraîner l’exécution du service Windows Media Station ou du service Windows Media Monitor sur un système exécutant Windows 2000 Server pour arrêter de répondre aux nouvelles demandes. Pour windows Media Station Service, le résultat serait que le service n’accepterait aucune nouvelle connexion TCP. Les nouvelles demandes de média ne seraient pas mises en service, ni les éléments suivants d’une playlist ne seraient pas pris en charge. Pour le service Windows Media Monitor, le résultat serait que le service n’accepterait aucune nouvelle connexion TCP ; Toutefois, l’administrateur du serveur peut utiliser les services Terminal Pour se connecter à distance et administrer Services Windows Media.

Quelles sont les causes de la vulnérabilité ?
La vulnérabilité existe, car le processus par lequel le service Windows Media Station et le service Windows Media Monitor valident les requêtes TCP peuvent empêcher les deux services d’accepter de nouvelles demandes de connexion.

Qu’est-ce que Services Windows Media ?
Services Windows Media est un composant Windows Server qui permet au contenu d’être diffusé à partir d’un serveur Windows Media vers des clients Windows Media via Internet ou via un intranet. Les clients qui reçoivent le contenu peuvent s’afficher, comme en lecture ou en mode d’affichage, car ils sont reçus sans d’abord télécharger le contenu.

Quels composants sont installés sur mon système lorsque j’installe Services Windows Media ?
Services Windows Media se compose de quatre services Windows :

Service Unicast Windows Media. Ce service fournit une diffusion en continu unidiffusion sur Internet ou sur un intranet.
Windows Media Station Service. Ce service fournit une diffusion en continu multidiffusion. Pour pouvoir utiliser la diffusion en continu multidiffusion, tous les routeurs entre le serveur et le client doivent avoir la multidiffusion activée.
Windows Media Program Service. Ce service fournit un programme séquentiel ou une playlist à Windows Media Station Service. Les playlists peuvent également être utilisées par le service monodiffusion Windows Media, qui utilise des fonctionnalités dans windows Media Station Service et windows Media Program Service pour fonctionner.
Service Windows Media Monitor. Il s’agit d’un service d’assistance pour Services Windows Media ; il surveille les connexions client et serveur et est le service via lequel Services Windows Media est administré.

Quelles sont les méthodes de monodiffusion et de multidiffusion de streaming multimédia ?
La diffusion en continu multimédia unidiffusion et multidiffusion est une méthode permettant de fournir du contenu multimédia aux clients sur un réseau. Unicast est un processus de transfert de fichiers où une copie distincte des données est envoyée du serveur à chaque client qui le demande. La multidiffusion est un processus de transfert de fichiers où une seule copie des données est envoyée, mais tous les clients accèdent à ce flux unique en cours. Plusieurs copies de données ne sont pas envoyées sur le réseau. Pour plus d’informations sur la diffusion multimédia multidiffusion, consultez la diffusion en continu multidiffusion avec Services Windows Media site web 4.1.

Qu’est-ce que la vulnérabilité peut permettre à un attaquant de faire ?
Un attaquant non authentifié peut envoyer une séquence spécialement conçue de paquets TCP/IP au serveur, ce qui peut entraîner l’arrêt de l’acceptation de nouvelles demandes par windows Media Station Service. Windows Media Station Service serait toujours en mesure de diffuser des médias sur des connexions TCP qui ont déjà été effectuées, mais elle n’accepterait pas de nouvelles demandes. Les nouvelles demandes de média ne seraient pas mises en service. Les demandes pour l’élément suivant d’une playlist ne sont pas non plus serviceées, car elles sont essentiellement de nouvelles demandes. Pour récupérer à partir de cet état, un administrateur doit redémarrer le service.

Qui pouvez exploiter la vulnérabilité ?
Un attaquant non authentifié qui pourrait se connecter au service Windows Media Station ou au service Windows Media Monitor pourrait exploiter cette vulnérabilité en empêchant les services de répondre aux nouvelles demandes.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Appliquez cette mise à jour aux systèmes sur utilisant Windows Media Center Services pour Windows 2000 Server installés.

J’exécute Services Windows Media 4.1 sur Windows NT4 Server. Suis-je affecté par cette vulnérabilité ?
Non. Services Windows Media 4.1 (disponible en téléchargement pour Windows NT4 Server) n’est pas affecté par cette vulnérabilité.

Que fait la mise à jour ?
La mise à jour garantit que le service Windows Media Station et le service Windows Media Monitor valident correctement les requêtes TCP.

Informations sur les mises à jour de sécurité

Plateformes d’installation et conditions préalables :

Pour plus d’informations sur la mise à jour de sécurité spécifique pour votre plateforme, cliquez sur le lien approprié :

Windows 2000 Server (toutes les versions)

Conditions préalables

Pour Windows 2000 Server, cette mise à jour de sécurité nécessite Service Pack 2 (SP2), Service Pack 3 (SP3) ou Service Pack 4 (SP4).

Pour plus d’informations, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft : 260910 Comment obtenir le dernier Service Pack Windows 2000

Inclusion dans les Service Packs futurs :

Le correctif de ce problème sera inclus dans Windows 2000 Service Pack 5.

Informations d’installation

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants :

/help Affiche les options de ligne de commande

Modes d’installation

/quiet Use Quiet mode (aucune interaction ou affichage de l’utilisateur)

Mode /passif sans assistance (barre de progression uniquement)

/uninstall désinstalle le package

Options de redémarrage

/norestart Ne redémarrez pas une fois l’installation terminée

/forcerestart Restart after installation

Options spéciales

/l Lists installé des correctifs logiciels Windows ou des packages de mise à jour

/o Remplacer les fichiers OEM sans inviter

/n Ne pas sauvegarder les fichiers nécessaires à la désinstallation

/f Forcer la fermeture d’autres programmes lorsque l’ordinateur s’arrête

Remarque : vous pouvez combiner ces commutateurs en une seule commande. Pour la compatibilité descendante, la mise à jour de sécurité prend également en charge les commutateurs d’installation utilisés par la version précédente de l’utilitaire d’installation. Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez l’article 262841 de la Base de connaissances.

Informations de déploiement

Pour installer la mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante à l’invite de commandes pour Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 ou Windows 2000 Service Pack 4 : WindowsMedia41-Ko 832359-ENU /passive /quiet

Pour installer la mise à jour de sécurité sans forcer le redémarrage de l’ordinateur, utilisez la commande suivante à l’invite de commandes pour Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 ou Windows 2000 Service Pack 4 : WindowsMedia41-Ko 832359-ENU /norestart

Pour plus d’informations sur le déploiement de cette mise à jour de sécurité avec Software Update Services, visitez le site web Software Update Services.

Configuration requise pour le redémarrage

Dans certains cas, cette mise à jour ne nécessite pas de redémarrage. Le programme d’installation arrête les services requis, applique la mise à jour, puis redémarre les services. Toutefois, si les services requis ne peuvent pas être arrêtés pour une raison quelconque ou si les fichiers requis sont en cours d’utilisation, cette mise à jour nécessite un redémarrage. Si cela se produit, un message s’affiche qui vous conseille de redémarrer.

Informations de suppression

Pour supprimer cette mise à jour de sécurité, utilisez l’outil Ajouter/Supprimer des programmes dans Panneau de configuration.

Les administrateurs système peuvent utiliser l’utilitaire Spuninst.exe pour supprimer cette mise à jour de sécurité. L’utilitaire Spuninst.exe se trouve dans le dossier %Windir%\$NTUninstall Ko 832359$\Spuninst. L’utilitaire Spuninst.exe prend en charge les commutateurs d’installation suivants :

/ ?: Affichez la liste des commutateurs d’installation.

/u : Utilisez le mode sans assistance.

/f : forcer l’arrêt d’autres programmes lorsque l’ordinateur s’arrête.

/z : ne redémarrez pas une fois l’installation terminée.

/q : Utilisez le mode silencieux (aucune interaction utilisateur).

Informations sur le fichier

La version anglaise de ce correctif contient les attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations du fichier, elle est convertie en heure locale. Pour trouver la différence entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire dans l’outil Date et Heure dans Panneau de configuration.

Windows 2000 Service Pack 2, Windows 2000 Service Pack 3, Windows 2000 Service Pack 4

Date Time Version Size File name------------------------------------------------------15-Jan-2004 02:51 4.1.0.3934 222,384 Nscm.exe15-Jan-2004 02:48 4.1.0.3934 31,808 Nspmon.exe

Vérification de l’installation de la mise à jour

Pour vérifier qu’une mise à jour de sécurité est installée sur un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA). Microsoft Baseline Security Analyzer (Mo SA) permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes ainsi que les mauvaises configurations de sécurité courantes. Pour plus d’informations sur Mo SA, visitez le site web Microsoft Baseline Security Analyzer.

Vous pouvez également vérifier les fichiers installés par cette mise à jour de sécurité en examinant la clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mises à jour\Services Windows Media\Ko 832359\FileList

Notez que cette clé de Registre peut ne pas être créée correctement lorsqu’un administrateur ou un OEM intègre ou glisse la mise à jour de sécurité 832359 dans les fichiers sources d’installation Windows.

Autres informations

Accusés de réception

Microsoft remercie ce qui suit pour nous aider à protéger les clients :

Qualys pour signaler le problème.

Obtention d’autres mises à jour de sécurité :

Mises à jour pour d’autres problèmes de sécurité sont disponibles à partir des emplacements suivants :

Les mises à jour de sécurité sont disponibles à partir du Centre de téléchargement Microsoft et sont les plus faciles à trouver en effectuant une recherche mot clé pour « security_patch ».
Mises à jour pour les plateformes grand public sont disponibles à partir de la Site web Windows Update.

Support :

Le support technique est disponible auprès des services de support technique Microsoft à 1-866-PCSAFETY pour les clients aux États-Unis et au Canada. Il n’existe aucun frais pour les appels de support associés aux mises à jour de sécurité.
Les clients internationaux peuvent obtenir du support auprès de leurs filiales Microsoft locales. La prise en charge des mises à jour de sécurité n’est pas facturée. Des informations sur la façon de contacter le support Microsoft sont disponibles sur le site web du support international.

Ressources de sécurité :

Le site web Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Microsoft Software Update Services
Microsoft Baseline Security Analyzer (Mo SA)
Windows Update
Catalogue Windows Update : consultez l’article de la Base de connaissances 323166 pour plus d’informations sur le catalogue Windows Update.
mise à jour Bureau

Software Update Services :

Microsoft Software Update Services (SUS) permet aux administrateurs de déployer rapidement et de manière fiable les dernières mises à jour critiques et mises à jour de sécurité sur les serveurs Windows® 2000 et Windows Server™ 2003, ainsi que sur les ordinateurs de bureau exécutant Windows 2000 Professionnel ou Windows XP Professionnel.

Pour plus d’informations sur le déploiement de cette mise à jour de sécurité avec Software Update Services, visitez le site web Software Update Services .

Serveur d’administration des systèmes :

Systems Management Server peut fournir de l’aide pour déployer cette mise à jour de sécurité. Pour plus d’informations sur systems Management Server, visitez le site web SMS. Pour plus d’informations sur les nombreuses améliorations apportées au processus de déploiement des mises à jour de sécurité fournies par SMS 2003, visitez le site web de gestion des correctifs de sécurité SMS 2003. Pour les utilisateurs de SMS 2.0, il fournit également plusieurs outils supplémentaires pour aider les administrateurs à déployer des mises à jour de sécurité telles que sms 2.0 Software Update Services Feature Pack et SMS 2.0 Administration istration Feature Pack. Le pack de fonctionnalités SMS 2.0 Software Update Services utilise Microsoft Baseline Security Analyzer et Microsoft Bureau Detection Tool pour fournir une prise en charge étendue de la correction des bulletins de sécurité. Certaines mises à jour logicielles peuvent nécessiter des droits d’administration après un redémarrage de l’ordinateur

Remarque : Les fonctionnalités d’inventaire du pack de fonctionnalités SMS 2.0 Software Update Services peuvent être utilisées pour cibler les mises à jour sur des ordinateurs spécifiques, et l’outil de déploiement avec droits élevés du pack de fonctionnalités SMS 2.0 Administration istration peut être utilisé pour l’installation. Cela fournit un déploiement optimal pour les mises à jour qui nécessitent un ciblage explicite à l’aide de Systems Management Server et des droits d’administration après le redémarrage de l’ordinateur.

Exclusion de responsabilité :

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions:

V1.0 (9 mars 2004) : Bulletin publié

Construit à 2014-04-18T13 :49 :36Z-07 :00

Partager via