Miembros de
Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Windows Active Directory |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Microsoft |
| Software afectado |
Microsoft Windows 2000 Server SP4 Microsoft Windows Server 2003 SP1 Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 x64 Edition Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 Itanium SP1 Microsoft Windows Server 2003 Itanium SP2 |
Descripción |
|
|
Se han encontrado múltiples vulnerabilidades en Windows Active Directory. Las vulnerabilidades son descritas a continuación. - CVE-2007-0040: Se ha encontrado una vulnerabilidad en Microsoft Windows 2000 Server SP4, Server 2003 SP1, Server 2003 SP2, Server 2003 x64 Edition, Server 2003 SP2 y en Server 2003 para sistemas basados en Itanium SP1 y SP2 en Windows Active Directory. La vulnerabilidad reside al no validar de forma correcta las peticiones LDAP. Un atacante remoto podría ejecutar código arbitrario mediante una petición LDAP especialmente diseñada con un número no especificado en "convertible attributes." - CVE-2007-3028: Se ha encontrado una vulnerabilidad en Microsoft Windows 2000 Server SP4 en Windows Active Directory. La vulnerabilidad reside al no comprobar de forma correcta el "the number of convertible attributes". Un atacante remoto podría causar una denegación de servicio mediante una peticion LDAP especialmente diseñada relacionada con el "client sent LDAP request logic." El boletín MS08-003 sustituye al MS07-039. |
|
Solución |
|
|
Actualización de software Microsoft Microsoft Windows Server 2000 / patch Windows2000-kb926122-x86-enu Microsoft Windows Server 2003 / patch Windowsserver2003-kb926122-x86-enu |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2007-0040 CVE-2007-3028 |
| BID | |
Recursos adicionales |
|
|
Microsoft Security Bulletin (MS07-039) http://www.microsoft.com/technet/security/Bulletin/MS07-039.mspx Microsoft Security Bulletin (MS08-003) http://www.microsoft.com/technet/security/bulletin/ms08-003.mspx |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2007-07-11 |
| 1.1 | Aviso emitido por Microsoft (MS08-003). Descripción actualizada. | 2008-02-13 |