MS03-022 : Un problème de sécurité dans l'extension ISAPI des Services Windows Media peut permettre l'exécution de code

Traductions disponibles Traductions disponibles
Numéro d'article: 822343 - Voir les produits auxquels s'applique cet article
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).

Mise à jour technique

  • 9 mars 2004 : mise à jour de la section "Informations sur l'installation" pour indiquer les commutateurs disponibles pour la mise à jour de sécurité republiée. Après la publication de cette mise à jour, Microsoft a été informée que, dans certains cas, la mise à jour initiale fournie dans ce bulletin ne remplaçait pas le fichier vulnérable sur le lecteur de disque dur. Ce problème se produisait si les Services Windows Media étaient supprimés avant l'application de la mise à jour. Microsoft a corrigé ce problème et offre une nouvelle version de la mise à jour sur le site Web Windows Update et dans le Centre de téléchargement Microsoft.
  • 9 mars 2004 : mise à jour de la section "Informations sur l'installation".
  • 9 mars 2004 : mise à jour de la section "Informations sur les fichiers".
  • 26 juin 2003 : mise à jour de la section "Conditions préalables" pour indiquer que le correctif peut être installé sur les ordinateurs Windows 2000 avec Service Pack 2, Service Pack 3 ou Service Pack 4 installé.
  • 26 juin 2003 : mise à jour de la section "Informations sur les fichiers".
Agrandir tout | Réduire tout

Sommaire

Symptômes

Les Services Windows Media Microsoft sont disponibles dans Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server et Microsoft Windows 2000 Datacenter Server. Une version téléchargeable des Services Windows Media est aussi disponible pour Microsoft Windows NT 4.0 Server. Les Services Windows Media prennent en charge la transmission de contenu multimédia à des clients sur un réseau selon un processus appelé flux de multidiffusion. Dans un flux de multidiffusion, le serveur qui transmet le flux de contenu multimédia n'est pas lié aux clients et n'a pas connaissance de ceux-ci.

Pour faciliter au serveur l'enregistrement des informations des clients, Windows 2000 intègre une fonctionnalité spécialement conçue pour activer l'enregistrement pour des transmissions de multidiffusion. Cette fonctionnalité d'enregistrement est implémentée sous la forme d'une extension ISAPI (Internet Services Application Programming Interface) nommée Nsiislog.dll. Lorsque les Services Windows Media sont ajoutés à Windows 2000 par le biais de l'outil Ajout/Suppression de programmes, Nsiislog.dll est installé dans le dossier des scripts des services Internet (IIS) sur le serveur. Une fois les Services Windows Media installés, le fichier Nsiislog.dll est automatiquement chargé et utilisé par les services Internet.

La manière dont Nsiislog.dll. traite les requêtes des clients entrantes présente un défaut. Cela engendre un problème de sécurité car un agresseur peut envoyer des requêtes HTTP spécialement formées (c'est-à-dire des communications) au serveur, qui peuvent provoquer l'échec des services Internet ou permettre l'exécution de code sur le système de l'utilisateur.

Par défaut, les Services Windows Media ne sont pas installés avec Windows 2000. Un agresseur qui tente d'exploiter ce problème de sécurité doit connaître les ordinateurs du réseau sur lesquels les Services Windows Media sont installés et envoyer une requête spécifique à ce serveur.

Les Services Windows Media ne sont pas disponibles pour Windows 2000 Professionnel.

Résolution

Informations sur la mise à jour de sécurité

Informations sur le téléchargement

Vous pouvez télécharger le fichier suivant à partir du Centre de téléchargement Microsoft :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package 822343 maintenant.
Date de publication : 25 juin 2003

Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
119591 Comment obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.

Conditions préalables

Cette mise à jour de sécurité nécessite Windows 2000 avec Service Pack 2 (SP2), Service Pack 3 (SP3) ou Service Pack 4 (SP4) installé. Pour plus d'informations sur les Service Packs Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
260910 Comment faire pour obtenir le dernier Service Pack Windows 2000
Remarque Les Services Windows Media Microsoft 4.1 sont fournis avec le Service Pack 2 Windows 2000 Server et versions ultérieures.

Informations sur l'installation

Cette mise à jour de sécurité prend en charge les commutateurs d'installation suivants :
  • /help : affiche les options de ligne de commande.
  • /quiet : utilise le mode silencieux (sans aucune interaction utilisateur ni affichage).
  • /passive : mode sans assistance (barre de progression uniquement).
  • /uninstall : désinstalle le package.
  • /norestart : ne redémarre pas une fois l'installation terminée.
  • /forcerestart : redémarre une fois l'installation terminée.
  • /l : répertorie les correctifs ou mises à jour logicielles installés.
  • /o : remplace les fichiers OEM sans avertissement.
  • /n : ne sauvegarde pas les fichiers nécessaires à la désinstallation.
  • /f : force la fermeture des autres programmes lors de l'arrêt de l'ordinateur.
Pour vérifier que la mise à jour de sécurité est correctement installée sur votre ordinateur, confirmez l'existence de la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Media Services\wm822343

Informations sur le déploiement

Pour installer la mise à jour de sécurité sans intervention de la part de l'utilisateur, tapez la commande suivante à une invite de commandes :
WindowsMedia41-KB822343-x86-ENU /quiet
Pour plus d'informations sur la façon de déployer cette mise à jour de sécurité à l'aide des Services de mises à jour logicielles Microsoft, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/downloads/details.aspx?FamilyID=fcdd70b2-f7d5-4606-be39-fa48e52ae5b7&displaylang=fr

Nécessité d'un redémarrage

Il n'est pas obligatoire de redémarrer votre ordinateur après avoir appliqué cette mise à jour de sécurité.

Informations sur la suppression

Vous ne pouvez pas supprimer cette mise à jour de sécurité car la technologie d'installation n'autorise pas de suppression et car Windows 2000 ne dispose pas d'une fonctionnalité de restauration de niveau système.

Informations sur le remplacement de la mise à jour de sécurité

Cette mise à jour de sécurité remplace la mise à jour de sécurité 817772.

Informations sur les fichiers

La version anglaise de ce correctif dispose des attributs de fichier répertoriés dans le tableau suivant ou ceux d'une version ultérieure. Les date et heure de création de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations sur les fichiers, les données sont converties à l'heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire de l'utilitaire Date et heure du Panneau de configuration.
   Date      Heure  Version     Taille   Nom de fichier
   ----------------------------------------------------
   02/03/04  00:26               24 576  Custdll.dll
   29/05/03  21:25  4.1.0.3932   16 784  Nsiislog.dll
   03/06/03  15:47  6.0.2600.0  143 872  Nsisapi.exe

Statut

Microsoft a confirmé que ce problème de sécurité pouvait se traduire par une certaine vulnérabilité des produits Microsoft répertoriés au début de cet article.

Plus d'informations

Pour plus d'informations sur ce problème de sécurité, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/france/technet/themes/secur/info/info.asp?mar=/france/technet/themes/secur/info/ms03-022.html

Propriétés

Numéro d'article: 822343 - Dernière mise à jour: mardi 11 février 2014 - Version: 4.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Services Windows Media 4.1
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
Mots-clés : 
kbnosurvey kbarchive kbwin2000presp5fix kbsecvulnerability kbsecurity kbsecbulletin kbqfe kbfix kbbug KB822343
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com