Les nouveautés du Service Pack 3 de Windows 2000
Date : 29 Juin 2005
Introduction
Le Service Pack 3 de Windows 2000 est apparu en version US en août 2002. Il est à présent disponible en version anglaise et en version française. A ce jour, le SP3 est disponible à l'adresse suivante :
http://www.microsoft.com/windows2000/downloads/servicepacks/sp3/
Ce Service Pack s'applique aux versions : Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server, et Windows 2000 with Server Appliance Kit.
Remarque : Les Service Packs sont cumulatifs, c'est-à-dire que les bogues résolus dans un Service Pack le sont aussi dans les Service Packs suivants. Par exemple, le SP3 Windows 2000 contient tous les correctifs des SP1 et SP2 Windows 2000. Il n'est donc pas nécessaire, en théorie (l'histoire a montré quelque cas intéressants de "régression"), d'installer les premiers Service Packs avant d'installer le SP3 Windows 2000.
On pourra noter enfin que le SP3 inclut également tous les correctifs SRP1 (Security Rollup Package 1) qui est un patch cumulatif, publié en janvier 2002 par Microsoft, pour fixer tous les problèmes de sécurité connus jusqu'à cette date.
Liste des correctifs
La liste complète des correctifs apportés par le SP3 est disponible aux adresses suivantes :
- Q259524 Liste des bogues résolus par le Service Pack 1 Windows 2000 (1 sur 3)
- Q269425 Liste des bogues résolus par le Service Pack 1 Windows 2000 (2 sur 3)
- Q269428 Liste des bogues résolus par le Service Pack 1 Windows 2000 (3 sur 3)
- Q282522 Liste des bogues résolus par le Service Pack 2 Windows 2000 (1 sur 4)
- Q282524 Liste des bogues résolus par le Service Pack 2 Windows 2000 (2 sur 4)
- Q282525 Liste des bogues résolus par le Service Pack 2 Windows 2000 (3 sur 4)
- Q298193 Liste des bogues résolus par le Service Pack 2 Windows 2000 (4 sur 4)
- Q320853 Liste des bogues résolus par le Service Pack 3 Windows 2000
Mise à jour des autres composants
Le SP3 ne corrige avant tout que les problèmes liés au système d'exploitation lui-même, et son application seule de suffit pas à corriger les problèmes de tous les produits potentiellement présents sur une plate-forme donnée. Par exemple,
- Le SP3 n'inclut pas les correctifs de sécurité pour Internet Explorer 5.5, ni pour Internet Explorer 6. Il est donc vivement recommandé de mettre à jour IE 5.5 avec le SP2 à l'adresse suivante :
http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp
Concernant IE6, il est recommandé d'appliquer les correctifs de sécurité identifiés à l'adresse suivante :
http://www.microsoft.com/technet/security/current.asp?productID=119&servicePackId=0
- Mais le SP3 contient par contre les correctifs de sécurité pour IE 5.01 : il reprend tous les correctifs du SP2 de IE 5.01, plus d'autres correctifs et fonctionnalités s'appliquant à IE et Microsoft Outlook Express 5.01.
Chiffrement
Depuis le SP2, Windows 2000 met automatiquement à jour le système avec le chiffrement 128 bits. Il n'est pas possible de désactiver ou désinstaller cette fonctionnalité. Si vous retirez le SP2 ou le SP3 de Windows 2000 après installation, votre système continuera à utiliser du chiffrement 128 bits ; il ne reviendra pas à un chiffrement 56 bits.
Le tableau ci-dessous indique l'ensemble des avis Cert-IST corrigés par le SP3.
Depuis la parution du SP3, deux avis Cert-IST ont été émis (CERT-IST/AV-2002.283 et CERT-IST/AV-2002.291) pour lesquels nous vous recommandons d'appliquer les correctifs.
Il existe par ailleurs deux avis Cert-IST qui n'ont pas été inclus dans le SP3 :
- CERT-IST/AV-2001.305 : "Trois vulnérabilités dans le service "RunAs" sous Windows 2000"
- CERT-IST/AV-2001.110 : "Vulnérabilité dans l'utilisation des extensions WebDAV sous Windows"
A noter également que le SP3 corrige de nombreux autres problèmes pour lesquels aucun bulletin de sécurité Microsoft n'a été émis. Reportez-vous à l'adresse suivante pour obtenir la liste complète des correctifs Windows 2000 apportés par le SP3 :
http://support.microsoft.com/default.aspx?scid=/support/ServicePacks/Windows/2000/SP3FixList.asp
Avis CERT-IST | Référence Microsoft | Description |
Avis Q321599 | Débordement de pile dans la gestion des pages .HTR sous Microsoft IIS 4.0 et 5.0 | |
Avis Q318138 | Débordement de pile dans la gestion de l'annuaire du service "RAS" sous Microsoft Windows NT 4.0, 2000 et XP | |
Avis Q314147 | Multiples vulnérabilités dans plusieurs implémentations du protocole SNMP | |
Avis Q320206 | Vulnérabilité dans le système de débogage de Microsoft Windows | |
Avis Q276471 | Vulnérabilités dans l'application HyperTerminal sous Windows | |
Avis Q282806 et Q299553 | Vulnérabilités dans le service Telnet sous Windows 2000 | |
Avis Q285156 | Débordement de pile dans l'observateur d'évènements sous Windows 2000 | |
Avis Q285851 | Vulnérabilité dans la fonctionnalité "Network Dynamic Data Exchange" sous Windows 2000 | |
Avis Q285985 | Vulnérabilités dans Microsoft Internet Information Server (IIS) 4.0 et 5.0 | |
Avis Q285985 | Vulnérabilités dans les extensions ISAPI de Internet Information Server 4.0 et 5.0 | |
Avis Q287397 | Déni de service sous les contrôleurs de domaine Windows 2000 | |
Avis Q288855, Q293826, Q295534 et Q294370 | Vulnérabilités dans IIS 4.0 et 5.0 | |
Avis Q292435 | Déni de service dans Windows 2000 Terminal Service et Windows NT 4 Terminal Server Edition | |
Avis Q294391 | Déni de service sur les contrôleurs de domaines Windows 2000 | |
Avis Q294774, Q298340, Q304867 et Q301625 | Multiples vulnérabilités dans IIS4 et IIS5 | |
Avis Q296185 | Vulnérabilités dans Index Server et Indexing Service sous Windows | |
Avis Q298012 | Dénis de services RPC sous Windows NT 4, Windows 2000, Exchange et SQL Server | |
Avis Q299687 | Vulnérabilité dans le service LDAP sous Windows 2000 | |
Avis Q300845 | Vulnérabilité dans l'environnement d'exécution Java (JRE) de Sun et la machine virtuelle (VM) de Microsoft | |
Avis Q300845 | Vulnérabilité dans les environnements Microsoft VM et Sun JRE | |
Avis Q300972 | Débordement de pile dans le service "Index Server" sous IIS | |
Avis Q302755 | Vulnérabilité dans le service SMTP de Windows 2000 | |
Avis Q303984 | Déni de service sur Windows NT4, 2000 et Exchange2000 via NNTP | |
Avis Q305601 | Vulnérabilités dans le serveur Microsoft SQL 7.0 et 2000 | |
Avis Q307298 | Débordement de pile dans le service "telnet" sous Windows 2000 | |
Avis Q307454 et Q315404 | Déni de service sous Windows NT 4.0 Server, Terminal Server Edition et Windows 2000 Server, Advanced Server et Data Server | |
Avis Q311967 | Débordement de pile dans le service "Multiple UNC Provider" (MUP) sous Windows 2000, NT et XP | |
Avis Q313450 | Déni de service SMTP sous Windows 2000, Windows XP et Exchange 2000 | |
Avis Q314339, Q317035, Q317196, Q317895, Q318091, Q319688, Q319733, Q320374, Q321132 et Q321130 | Multiples vulnérabilités dans Microsoft IIS 4.0, 5.0 et 5.1 | |
Avis Q318089 | Vulnérabilité dans la gestion des scripts VBScript sous Internet Explorer 5.x et 6.0 | |
Avis Q318593 | Vulnérabilité dans le "Group Policy Object" (GPO) sous Windows 2000 | |
Avis Q274149 | Vulnérabilité dans la gestion des "cookies de session" sous IIS 4.0 et 5.0 | |
Avis Q313829 | Exécution de code arbitraire dans le gestionnaire du bureau Windows | |
Avis Q300367 | Vulnérabilité dans les clients "DCOM" sous Windows | |
Avis Q313450 | Vulnérabilité dans l'authentification au service SMTP sous Windows 2000 et Exchange Server 5.5 | |
Avis Q311401 | Vulnérabilité dans les mécanismes d'autorisation entre domaines d'approbation sous Windows | |
Avis Q304404 | Vulnérabilité dans le lecteur multimedia version 6.4, 7 et 7.1 sous Wnidows |
