Nouveautés du Service Pack 4 de Windows 2000
Date : 22 Juin 2005
Introduction
Le Service Pack 4 (SP4) de Windows 2000 est apparu en version US en juin 2003. Il est à présent disponible en version anglaise et en version française. A ce jour, le SP4 est disponible à l'adresse suivante :
http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/default.asp
Ce Service Pack s'applique aux versions : Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server, Windows 2000 with Server Appliance Kit et Microsoft Small Business Server 2000.
Remarque : Les Service Packs sont cumulatifs, c'est-à-dire que les bogues résolus dans un Service Pack le sont aussi dans les Service Packs suivants. Par exemple, le SP4 Windows 2000 contient tous les correctifs des SP1, SP2 et SP3 Windows 2000. Il n'est donc pas nécessaire, en théorie (l'histoire a montré quelque cas intéressants de "régression"), d'installer les premiers Service Packs avant d'installer le SP4 Windows 2000.
Liste des correctifs
La liste complète des correctifs apportés par le SP4 est disponible aux adresses suivantes :
- Q259524 Liste des bogues résolus par le Service Pack 1 Windows 2000 (1 sur 3)
- Q269425 Liste des bogues résolus par le Service Pack 1 Windows 2000 (2 sur 3)
- Q269428 Liste des bogues résolus par le Service Pack 1 Windows 2000 (3 sur 3)
- Q282522 Liste des bogues résolus par le Service Pack 2 Windows 2000 (1 sur 4)
- Q282524 Liste des bogues résolus par le Service Pack 2 Windows 2000 (2 sur 4)
- Q282525 Liste des bogues résolus par le Service Pack 2 Windows 2000 (3 sur 4)
- Q298193 Liste des bogues résolus par le Service Pack 2 Windows 2000 (4 sur 4)
- Q320853 Liste des bogues résolus par le Service Pack 3 Windows 2000
- Q327194 Liste des bogues résolus par le Service Pack 4 Windows 2000
Mise à jour des autres composants
Le SP4 corrige avant tout les problèmes liés au système d'exploitation lui-même, et son application seule ne suffit pas à corriger les problèmes de tous les produits potentiellement présents sur une plate-forme donnée.
Par exemple, le SP4 n'inclut pas les correctifs de sécurité pour Internet Explorer 5.5, ni pour Internet Explorer 6. Il est donc vivement recommandé de :
- mettre à jour IE6 avec le SP1 disponible à l’adresse suivante :
http://www.microsoft.com/windows/ie/downloads/critical/ie6sp1/default.asp
- mettre à jour IE 5.5 avec IE6 SP1. En effet, IE 5.5 SP2 est actuellement en phase de support étendu, ce qui veut dire que cette version du navigateur n’est plus disponible en téléchargement et les avis de sécurité concernant ce produit ne seront disponibles que jusqu’à fin décembre 2003. Pour plus d’information, reportez-vous à l’adresse suivante :
http://www.microsoft.com/windows/ie/support/ie55exsupport.asp
- Mais le SP4 contient par contre les correctifs de sécurité pour IE 5.01 et Outlook Express 5.01: il reprend tous les correctifs du SP4 de IE 5.01 et tous les correctifs du SP2 de Microsoft Outlook Express 5.01.
Avis Cert-IST corrigés par le SP4
Le tableau ci-dessous liste l'ensemble des avis Cert-IST corrigés par le SP4.
Avis CERT-IST | Référence Microsoft | Description |
Avis Q323255 | Vulnérabilités des fonctions d'aide HTML sous Microsoft Windows | |
Avis Q326830 | Débordement de pile dans le partage de ressources sous Windows NT 4.0, 2000 et XP | |
Avis Q329170 | Vulnérabilité dans la gestion du protocole SMB sous Windows 2000 et XP | |
Avis Q329834 | Vulnérabilité dans l'implémentation PPTP sous Windows 2000 et XP | |
Avis Q319709 | Déni de service dans l'annuaire "Active Directory" de Microsoft Windows 2000 Server | |
Avis Q328310 | Vulnérabilité dans la gestion du message Windows "WM_TIMER" | |
Avis Q324096 | Vulnérabilité dans l'interpréteur "SmartHTML" des extensions FrontPage de Microsoft | |
Avis Q329115 | Vulnérabilité dans le contrôle des certificats X.509 sous Windows et KDE | |
Avis Q232172 | Vulnérabilité dans la gestion des certificats numériques sous les systèmes Microsoft Windows | |
Avis Q329414 | Débordement de mémoire dans le composant MDAC sous Microsoft IIS et Internet Explorer | |
Avis Q321232 | Multiples vulnérabilités dans Internet Explorer 5 et 6 | |
Avis Q323759 | Multiples vulnérabilités dans Internet Explorer 5.x et 6 | |
Avis Q326886 | Vulnérabilité dans le composant "Network Connection Manager" (NCM) de Windows 2000 | |
Avis Q296441 | Vulnérabilité dans l'utilisation des extensions WebDAV sous Windows | |
Avis Q320206 | Vulnérabilité dans le système de débogage de Microsoft Windows | |
Avis Q320920 | Multiples vulnérabilités dans le lecteur multimédia version 6.4, 7.1 et XP sous Windows | |
Avis Q324380 | Vulnérabilité dans la gestion du protocole RDP sous Microsoft Windows 2000 et XP | |
Avis Q327696 | Multiples vulnérabilités dans Microsoft IIS 4.0, 5.0 et 5.1 | |
Avis Q328970 | Vulnérabilités dans Microsoft Internet Explorer 5.01, 5.5 et 6 | |
Avis Q329414 | Débordement de mémoire dans le composant MDAC sous Microsoft IIS et Internet Explorer | |
Avis Q330994 | Vulnérabilité dans le client de messagerie Microsoft Outlook Express | |
Avis Q331953 | Vulnérabilité dans le service "DCE-RPC" des systèmes Microsoft Windows NT4, 2000 et XP | |
Avis Q810833 | Débordement de pile dans le service "Locator" sous Microsoft Windows NT 4.0, 2000 et XP | |
Avis Q811114 | Multiples vulnérabilités dans Microsoft IIS 4.0, 5.0 et 5.1 | |
Avis Q811493 | Débordement de pile dans le noyau Windows NT, Windows 2000 et Windows XP | |
Avis Q813489 | Multiples vulnérabilités dans Microsoft Internet Explorer | |
Avis Q815021 | Vulnérabilité dans la librairie dynamique (DLL) "NTDLL.DLL" sur Microsoft Windows 2000 et NT 4.0 | |
Avis Q817606 et Q822679 | Multiples vulnérabilités dans les systèmes Microsoft Windows | |
Avis Q817772 | Débordement de pile dans le service "Windows Media Services" sur les systèmes Microsoft Windows 2000 et NT 4.0 | |
Avis Q814078 | Vulnérabilité de l'interpréteur "Windows Script Engine" sous les systèmes Microsoft Windows |
Depuis la parution du SP4, un avis Cert-IST a été émis (Vulnérabilité du service RPC sous Windows : CERT-IST/AV-2003.227) pour lesquels nous vous recommandons d'appliquer les correctifs.
Il existe un avis Cert-IST qui, selon l’article correspondant de la base de connaissances Microsoft, est corrigé par le SP4, mais ne fait pourtant pas partie de la liste des correctifs apportés par le SP4 :
- CERT-IST/AV-2003.213 : "Vulnérabilité des "tubes nommés" ("named pipes") sous Windows 2000"
Par ailleurs, deux vulnérabilités ont été découvertes respectivement dans NetMeeting et l’API Windows "ShellExecute".
- Avis de sécurité de CORE Security Technologies : http://www.coresecurity.com/common/showdoc.php?idx=352&idxseccion=10
- Avis de sécurité de SNS : http://www.lac.co.jp/security/intelligence/SNSAdvisory/65.html
Selon CORE Security Technologies et SNS, ces vulnérabilités sont corrigées par le SP4 de Windows 2000.
A noter également que le SP4 corrige de nombreux autres problèmes pour lesquels aucun bulletin de sécurité Microsoft n'a été émis. Vous pouvez aussi vous reportez à l'adresse suivante pour obtenir la liste complète des correctifs Windows 2000 apportés par le SP4 : http://support.microsoft.com/?kbid=327194
