Vous êtes sur le site public du Cert-IST
Les nouveautés du Service Pack 3 de Windows 2000

Date :29 Juin 2005

Publication: Article

Introduction

Le Service Pack 3 de Windows 2000 est apparu en version US en août 2002. Il est à présent disponible en version anglaise et en version française. A ce jour, le SP3 est disponible à l'adresse suivante :

http://www.microsoft.com/windows2000/downloads/servicepacks/sp3/

Ce Service Pack s'applique aux versions : Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server, et Windows 2000 with Server Appliance Kit.

Remarque : Les Service Packs sont cumulatifs, c'est-à-dire que les bogues résolus dans un Service Pack le sont aussi dans les Service Packs suivants. Par exemple, le SP3 Windows 2000 contient tous les correctifs des SP1 et SP2 Windows 2000. Il n'est donc pas nécessaire, en théorie (l'histoire a montré quelque cas intéressants de "régression"), d'installer les premiers Service Packs avant d'installer le SP3 Windows 2000.

On pourra noter enfin que le SP3 inclut également tous les correctifs SRP1 (Security Rollup Package 1) qui est un patch cumulatif, publié en janvier 2002 par Microsoft, pour fixer tous les problèmes de sécurité connus jusqu'à cette date.

Liste des correctifs

La liste complète des correctifs apportés par le SP3 est disponible aux adresses suivantes :

  • Q259524 Liste des bogues résolus par le Service Pack 1 Windows 2000 (1 sur 3)
  • Q269425 Liste des bogues résolus par le Service Pack 1 Windows 2000 (2 sur 3)
  • Q269428 Liste des bogues résolus par le Service Pack 1 Windows 2000 (3 sur 3)
  • Q282522 Liste des bogues résolus par le Service Pack 2 Windows 2000 (1 sur 4)
  • Q282524 Liste des bogues résolus par le Service Pack 2 Windows 2000 (2 sur 4)
  • Q282525 Liste des bogues résolus par le Service Pack 2 Windows 2000 (3 sur 4)
  • Q298193 Liste des bogues résolus par le Service Pack 2 Windows 2000 (4 sur 4)
  • Q320853 Liste des bogues résolus par le Service Pack 3 Windows 2000

Mise à jour des autres composants

Le SP3 ne corrige avant tout que les problèmes liés au système d'exploitation lui-même, et son application seule de suffit pas à corriger les problèmes de tous les produits potentiellement présents sur une plate-forme donnée. Par exemple,

Concernant IE6, il est recommandé d'appliquer les correctifs de sécurité identifiés à l'adresse suivante :

http://www.microsoft.com/technet/security/current.asp?productID=119&servicePackId=0

  • Mais le SP3 contient par contre les correctifs de sécurité pour IE 5.01 : il reprend tous les correctifs du SP2 de IE 5.01, plus d'autres correctifs et fonctionnalités s'appliquant à IE et Microsoft Outlook Express 5.01.

Chiffrement

Depuis le SP2, Windows 2000 met automatiquement à jour le système avec le chiffrement 128 bits. Il n'est pas possible de désactiver ou désinstaller cette fonctionnalité. Si vous retirez le SP2 ou le SP3 de Windows 2000 après installation, votre système continuera à utiliser du chiffrement 128 bits ; il ne reviendra pas à un chiffrement 56 bits.

Le tableau ci-dessous indique l'ensemble des avis Cert-IST corrigés par le SP3.

Depuis la parution du SP3, deux avis Cert-IST ont été émis (CERT-IST/AV-2002.283 et CERT-IST/AV-2002.291) pour lesquels nous vous recommandons d'appliquer les correctifs.

Il existe par ailleurs deux avis Cert-IST qui n'ont pas été inclus dans le SP3 :

A noter également que le SP3 corrige de nombreux autres problèmes pour lesquels aucun bulletin de sécurité Microsoft n'a été émis. Reportez-vous à l'adresse suivante pour obtenir la liste complète des correctifs Windows 2000 apportés par le SP3 :

http://support.microsoft.com/default.aspx?scid=/support/ServicePacks/Windows/2000/SP3FixList.asp

Avis CERT-IST

Référence Microsoft

Description

CERT-IST/AV-2002.197

Avis Q321599

Débordement de pile dans la gestion des pages .HTR sous Microsoft IIS 4.0 et 5.0

CERT-IST/AV-2002.198

Avis Q318138

Débordement de pile dans la gestion de l'annuaire du service "RAS" sous Microsoft Windows NT 4.0, 2000 et XP

CERT-IST/AV-2002.049

Avis Q314147

Multiples vulnérabilités dans plusieurs implémentations du protocole SNMP

CERT-IST/AV-2002.173

Avis Q320206

Vulnérabilité dans le système de débogage de Microsoft Windows

CERT-IST/AV-2000.259

Avis Q276471

Vulnérabilités dans l'application HyperTerminal sous Windows

CERT-IST/AV-2001.144

Avis Q282806 et Q299553

Vulnérabilités dans le service Telnet sous Windows 2000

CERT-IST/AV-2001.055

Avis Q285156

Débordement de pile dans l'observateur d'évènements sous Windows 2000

CERT-IST/AV-2001.028

Avis Q285851

Vulnérabilité dans la fonctionnalité "Network Dynamic Data Exchange" sous Windows 2000

CERT-IST/AV-2000.162

Avis Q285985

Vulnérabilités dans Microsoft Internet Information Server (IIS) 4.0 et 5.0

CERT-IST/AV-2000.095

Avis Q285985

Vulnérabilités dans les extensions ISAPI de Internet Information Server 4.0 et 5.0

CERT-IST/AV-2001.047

Avis Q287397

Déni de service sous les contrôleurs de domaine Windows 2000

CERT-IST/AV-2001.129

Avis Q288855, Q293826, Q295534 et Q294370

Vulnérabilités dans IIS 4.0 et 5.0

CERT-IST/AV-2001.027a

Avis Q292435

Déni de service dans Windows 2000 Terminal Service et Windows NT 4 Terminal Server Edition

CERT-IST/AV-2001.122

Avis Q294391

Déni de service sur les contrôleurs de domaines Windows 2000

CERT-IST/AV-2001.205

Avis Q294774, Q298340, Q304867 et Q301625

Multiples vulnérabilités dans IIS4 et IIS5

CERT-IST/AV-2001.124

Avis Q296185

Vulnérabilités dans Index Server et Indexing Service sous Windows

CERT-IST/AV-2001.196

Avis Q298012

Dénis de services RPC sous Windows NT 4, Windows 2000, Exchange et SQL Server

CERT-IST/AV-2001.162

Avis Q299687

Vulnérabilité dans le service LDAP sous Windows 2000

CERT-IST/AV-2002.087

Avis Q300845

Vulnérabilité dans l'environnement d'exécution Java (JRE) de Sun et la machine virtuelle (VM) de Microsoft

CERT-IST/AV-2002.072

Avis Q300845

Vulnérabilité dans les environnements Microsoft VM et Sun JRE

CERT-IST/AV-2001.153

Avis Q300972

Débordement de pile dans le service "Index Server" sous IIS

CERT-IST/AV-2001.170

Avis Q302755

Vulnérabilité dans le service SMTP de Windows 2000

CERT-IST/AV-2001.203

Avis Q303984

Déni de service sur Windows NT4, 2000 et Exchange2000 via NNTP

CERT-IST/AV-2001.340

Avis Q305601

Vulnérabilités dans le serveur Microsoft SQL 7.0 et 2000

CERT-IST/AV-2002.047

Avis Q307298

Débordement de pile dans le service "telnet" sous Windows 2000

CERT-IST/AV-2001.276

Avis Q307454 et Q315404

Déni de service sous Windows NT 4.0 Server, Terminal Server Edition et Windows 2000 Server, Advanced Server et Data Server

CERT-IST/AV-2002.107

Avis Q311967

Débordement de pile dans le service "Multiple UNC Provider" (MUP) sous Windows 2000, NT et XP

CERT-IST/AV-2002.067

Avis Q313450

Déni de service SMTP sous Windows 2000, Windows XP et Exchange 2000

CERT-IST/AV-2002.112

Avis Q314339, Q317035, Q317196, Q317895, Q318091, Q319688, Q319733, Q320374, Q321132 et Q321130

Multiples vulnérabilités dans Microsoft IIS 4.0, 5.0 et 5.1

CERT-IST/AV-2002.062

Avis Q318089

Vulnérabilité dans la gestion des scripts VBScript sous Internet Explorer 5.x et 6.0

CERT-IST/AV-2002.106

Avis Q318593

Vulnérabilité dans le "Group Policy Object" (GPO) sous Windows 2000

CERT-IST/AV-2000.263

Avis Q274149

Vulnérabilité dans la gestion des "cookies de session" sous IIS 4.0 et 5.0

CERT-IST/AV-2002.077

Avis Q313829

Exécution de code arbitraire dans le gestionnaire du bureau Windows

CERT-IST/AV-2002.108

Avis Q300367

Vulnérabilité dans les clients "DCOM" sous Windows

CERT-IST/AV-2002.066

Avis Q313450

Vulnérabilité dans l'authentification au service SMTP sous Windows 2000 et Exchange Server 5.5

CERT-IST/AV-2002.039

Avis Q311401

Vulnérabilité dans les mécanismes d'autorisation entre domaines d'approbation sous Windows

CERT-IST/AV-2001.197

Avis Q304404

Vulnérabilité dans le lecteur multimedia version 6.4, 7 et 7.1 sous Wnidows