Avis de sécurité

Deux vulnérabilités découvertes dans le script Auto_parms permettent à un utilisateur local d'usurper les privilèges root lors du démarrage de la machine.

Lors de son installation, MS Exchange 2000 crée un compte local. Si le serveur sur lequel est installé Exchange est un contrôleur de domaine Windows, ce compte utilisateur peut avoir accès à des données de tout le domaine en question.

Plusieurs vulnérabilités de BIND permettent à un utilisateur mal intentionné de bloquer le serveur de Nom (DNS).

NT 4.0 Terminal Server est un serveur de terminal permettant à un poste client distant de disposer d'une machine virtuelle NT. Un utilisateur mal intentionné peut provoquer à distance un débordement de pile sur un système Windows NT 4.0 Terminal Server, afin d'exécuter du code arbitraire.

Un utilisateur mal intentionné peut, par le biais de dtterm, augmenter ses privilèges utilisateur.

Un contrôle ActiveX de Windows 2000 permet à un utilisateur mal intentionné d'exécuter du code grâce à un débordement de mémoire dans ce contrôle.

Plusieurs débordements de mémoire dans l'utilitaire NetMon permettent à un utilisateur mal intentionné de bloquer le système ou d'exécuter du code sur la machine sur laquelle l'administrateur utilise les fonctions d'analyse d'enregistrements de l'utilitaire NetMon sous windows NT server et 2000...

Une vulnérabilité dans la gestion des courriers entrants, permet à un courrier dont l'entête serait habilement construite d'arrêter le service de messagerie.

Une vulnérabilité de la machine virtuelle Java de Microsoft Internet Explorer sous Windows permet à l'administrateur d'un site web malicieux de lire des fichiers auxquels il ne devrait pas avoir accès sur le disque dur et dans l'intranet de sa victime.

Les cookies échangés lors d'une session de navigation en mode sécurisé (HTTPS) sur un site sont échangés en clair pendant la même session, lors d'une connexion au même site en mode normal (HTTP).