Vous êtes sur le site public du Cert-IST
Nouveautés du Service Pack 4 de Windows 2000

Date :22 Juin 2005

Publication: Article

Introduction

Le Service Pack 4 (SP4) de Windows 2000 est apparu en version US en juin 2003. Il est à présent disponible en version anglaise et en version française. A ce jour, le SP4 est disponible à l'adresse suivante :

http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/default.asp

Ce Service Pack s'applique aux versions : Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server, Windows 2000 with Server Appliance Kit et Microsoft Small Business Server 2000.

Remarque : Les Service Packs sont cumulatifs, c'est-à-dire que les bogues résolus dans un Service Pack le sont aussi dans les Service Packs suivants. Par exemple, le SP4 Windows 2000 contient tous les correctifs des SP1, SP2 et SP3 Windows 2000. Il n'est donc pas nécessaire, en théorie (l'histoire a montré quelque cas intéressants de "régression"), d'installer les premiers Service Packs avant d'installer le SP4 Windows 2000.

Liste des correctifs

La liste complète des correctifs apportés par le SP4 est disponible aux adresses suivantes :

  • Q259524 Liste des bogues résolus par le Service Pack 1 Windows 2000 (1 sur 3)
  • Q269425 Liste des bogues résolus par le Service Pack 1 Windows 2000 (2 sur 3)
  • Q269428 Liste des bogues résolus par le Service Pack 1 Windows 2000 (3 sur 3)
  • Q282522 Liste des bogues résolus par le Service Pack 2 Windows 2000 (1 sur 4)
  • Q282524 Liste des bogues résolus par le Service Pack 2 Windows 2000 (2 sur 4)
  • Q282525 Liste des bogues résolus par le Service Pack 2 Windows 2000 (3 sur 4)
  • Q298193 Liste des bogues résolus par le Service Pack 2 Windows 2000 (4 sur 4)
  • Q320853 Liste des bogues résolus par le Service Pack 3 Windows 2000
  • Q327194 Liste des bogues résolus par le Service Pack 4 Windows 2000

Mise à jour des autres composants

Le SP4 corrige avant tout les problèmes liés au système d'exploitation lui-même, et son application seule ne suffit pas à corriger les problèmes de tous les produits potentiellement présents sur une plate-forme donnée.

Par exemple, le SP4 n'inclut pas les correctifs de sécurité pour Internet Explorer 5.5, ni pour Internet Explorer 6. Il est donc vivement recommandé de :

  • mettre à jour IE6 avec le SP1 disponible à l’adresse suivante :

http://www.microsoft.com/windows/ie/downloads/critical/ie6sp1/default.asp

  • mettre à jour IE 5.5 avec IE6 SP1. En effet, IE 5.5 SP2 est actuellement en phase de support étendu, ce qui veut dire que cette version du navigateur n’est plus disponible en téléchargement et les avis de sécurité concernant ce produit ne seront disponibles que jusqu’à fin décembre 2003. Pour plus d’information, reportez-vous à l’adresse suivante :

http://www.microsoft.com/windows/ie/support/ie55exsupport.asp

  • Mais le SP4 contient par contre les correctifs de sécurité pour IE 5.01 et Outlook Express 5.01: il reprend tous les correctifs du SP4 de IE 5.01 et tous les correctifs du SP2 de Microsoft Outlook Express 5.01.

Avis Cert-IST corrigés par le SP4

Le tableau ci-dessous liste l'ensemble des avis Cert-IST corrigés par le SP4.

Avis CERT-IST

Référence Microsoft

Description

CERT-IST/AV-2002.339

Avis Q323255

Vulnérabilités des fonctions d'aide HTML sous Microsoft Windows

CERT-IST/AV-2002.291

Avis Q326830

Débordement de pile dans le partage de ressources sous Windows NT 4.0, 2000 et XP

CERT-IST/AV-2002.422

Avis Q329170

Vulnérabilité dans la gestion du protocole SMB sous Windows 2000 et XP

CERT-IST/AV-2002.375

Avis Q329834

Vulnérabilité dans l'implémentation PPTP sous Windows 2000 et XP

CERT-IST/AV-2003.211

Avis Q319709

Déni de service dans l'annuaire "Active Directory" de Microsoft Windows 2000 Server

CERT-IST/AV-2002.423a

Avis Q328310

Vulnérabilité dans la gestion du message Windows "WM_TIMER"

CERT-IST/AV-2002.330

Avis Q324096

Vulnérabilité dans l'interpréteur "SmartHTML" des extensions FrontPage de Microsoft

CERT-IST/AV-2002.306

Avis Q329115

Vulnérabilité dans le contrôle des certificats X.509 sous Windows et KDE

CERT-IST/AV-2002.301

Avis Q232172

Vulnérabilité dans la gestion des certificats numériques sous les systèmes Microsoft Windows

CERT-IST/AV-2002.397

Avis Q329414

Débordement de mémoire dans le composant MDAC sous Microsoft IIS et Internet Explorer

CERT-IST/AV-2002.167

Avis Q321232

Multiples vulnérabilités dans Internet Explorer 5 et 6

CERT-IST/AV-2002.292

Avis Q323759

Multiples vulnérabilités dans Internet Explorer 5.x et 6

CERT-IST/AV-2002.283

Avis Q326886

Vulnérabilité dans le composant "Network Connection Manager" (NCM) de Windows 2000

CERT-IST/AV-2001.110

Avis Q296441

Vulnérabilité dans l'utilisation des extensions WebDAV sous Windows

CERT-IST/AV-2002.173

Avis Q320206

Vulnérabilité dans le système de débogage de Microsoft Windows

CERT-IST/AV-2002.215

Avis Q320920

Multiples vulnérabilités dans le lecteur multimédia version 6.4, 7.1 et XP sous Windows

CERT-IST/AV-2002.322

Avis Q324380

Vulnérabilité dans la gestion du protocole RDP sous Microsoft Windows 2000 et XP

CERT-IST/AV-2002.374

Avis Q327696

Multiples vulnérabilités dans Microsoft IIS 4.0, 5.0 et 5.1

CERT-IST/AV-2002.398

Avis Q328970

Vulnérabilités dans Microsoft Internet Explorer 5.01, 5.5 et 6

CERT-IST/AV-2002.397

Avis Q329414

Débordement de mémoire dans le composant MDAC sous Microsoft IIS et Internet Explorer

CERT-IST/AV-2003.132

Avis Q330994

Vulnérabilité dans le client de messagerie Microsoft Outlook Express

CERT-IST/AV-2003.103

Avis Q331953

Vulnérabilité dans le service "DCE-RPC" des systèmes Microsoft Windows NT4, 2000 et XP

CERT-IST/AV-2003.020

Avis Q810833

Débordement de pile dans le service "Locator" sous Microsoft Windows NT 4.0, 2000 et XP

CERT-IST/AV-2003.168

Avis Q811114

Multiples vulnérabilités dans Microsoft IIS 4.0, 5.0 et 5.1

CERT-IST/AV-2003.127

Avis Q811493

Débordement de pile dans le noyau Windows NT, Windows 2000 et Windows XP

CERT-IST/AV-2003.133

Avis Q813489

Multiples vulnérabilités dans Microsoft Internet Explorer

CERT-IST/AV-2003.089

Avis Q815021

Vulnérabilité dans la librairie dynamique (DLL) "NTDLL.DLL" sur Microsoft Windows 2000 et NT 4.0

CERT-IST/AV-2003.215

Avis Q817606 et Q822679

Multiples vulnérabilités dans les systèmes Microsoft Windows

CERT-IST/AV-2003.170

Avis Q817772

Débordement de pile dans le service "Windows Media Services" sur les systèmes Microsoft Windows 2000 et NT 4.0

CERT-IST/AV-2003.093

Avis Q814078

Vulnérabilité de l'interpréteur "Windows Script Engine" sous les systèmes Microsoft Windows

Depuis la parution du SP4, un avis Cert-IST a été émis (Vulnérabilité du service RPC sous Windows : CERT-IST/AV-2003.227) pour lesquels nous vous recommandons d'appliquer les correctifs.

Il existe un avis Cert-IST qui, selon l’article correspondant de la base de connaissances Microsoft, est corrigé par le SP4, mais ne fait pourtant pas partie de la liste des correctifs apportés par le SP4 :

Par ailleurs, deux vulnérabilités ont été découvertes respectivement dans NetMeeting et l’API Windows "ShellExecute".

Selon CORE Security Technologies et SNS, ces vulnérabilités sont corrigées par le SP4 de Windows 2000.

A noter également que le SP4 corrige de nombreux autres problèmes pour lesquels aucun bulletin de sécurité Microsoft n'a été émis. Vous pouvez aussi vous reportez à l'adresse suivante pour obtenir la liste complète des correctifs Windows 2000 apportés par le SP4 : http://support.microsoft.com/?kbid=327194