Avis du CERTA : Vulnérabilité du client Novell Netware pour Windows
novembre 2007 par CERT-FR
1 Risque
* Exécution de code arbitraire ;
* élévation de privilèges.
2 Systèmes affectés
* Novell Client for Windows 2000/XP/2003 Support Pack 1 ;
* Novell Client for Windows 2000/XP/2003 Support Pack 1a ;
* Novell Client for Windows 2000/XP/2003 Support Pack 2 ;
* Novell Client for Windows 2000/XP/2003 Support Pack 3 ;
* Novell Client for Windows 2000/XP/2003 Support Pack 4.
3 Résumé
Une vulnérabilité dans le client Novell Netware pour Windows permet à un
utilisateur local d’exécuter du code arbitraire et d’élever ses privilèges.
4 Description
Une vulnérabilité a été identifiée dans le client Novell Netware pour Windows.
Celle-ci est due à un manque de contrôle dans les paramètres passés à un appel
système du pilote NWFILTER.SYS intégré à ce client. Elle permet à un
utilisateur local d’exécuter du code arbitraire dans le contexte du noyau du
système d’exploitation.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité Novell #3260263 du 12 novembre 2007 :
http://secure-support.novell.com/KanisaPlatform/Publishing/98/3260263_f.SAL_Public.html
* Bulletin de sécurité iDefense 626 du 12 novembre 2007 :
http://www.idefense.com/ntelligence/vulnerabilities/display.php?id=626