Bulletin de sécurité

Bulletin de sécurité Microsoft MS06-029 - Important

Une vulnérabilité dans Microsoft Exchange Server exécutant Outlook Web Access peut autoriser l’injection de scripts (912442)

Publication : 13 juin 2006

Version : 1.0

Résumé

Qui devez lire ce document : Clients qui utilisent Microsoft Exchange Server exécutant Microsoft Outlook Web Access

Impact de la vulnérabilité : exécution de code à distance

Niveau de gravité maximal : important

Recommandation : les clients doivent envisager d’appliquer la mise à jour de sécurité.

Remplacement des mises à jour de sécurité : Aucun

Avertissements :Article de la Base de connaissances Microsoft 912442 documente les problèmes actuellement connus que les clients peuvent rencontrer lors de l’installation de cette mise à jour de sécurité. L’article documente également les solutions recommandées pour ces problèmes. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 912442.

Emplacements de téléchargement des mises à jour logicielles et des mises à jour de sécurité testés :

Logiciels affectés :

Le logiciel de cette liste a été testé pour déterminer si les versions sont affectées. Les autres versions n’incluent plus la prise en charge des mises à jour de sécurité ou peuvent ne pas être affectées. Pour déterminer le cycle de vie de support de votre produit et de votre version, visitez le site web Support Microsoft cycle de vie.

Pour plus d’informations sur le correctif cumulatif d’août 2004 Exchange 2000 Server post-Service Pack 3, consultez l’article 870540 de la Base de connaissances Microsoft.

Informations générales

Résumé

Résumé:

Cette mise à jour résout une vulnérabilité récemment découverte et signalée en privé. La vulnérabilité est documentée dans la section « Détails de la vulnérabilité » de ce bulletin. Un attaquant qui a réussi à exploiter la vulnérabilité peut effectuer des attaques par injection de script.

Nous recommandons aux clients d’appliquer la mise à jour de sécurité.

Évaluations de gravité et identificateurs de vulnérabilité :

Identificateurs de vulnérabilité Impact de la vulnérabilité Microsoft Exchange 2000 Server Microsoft Exchange Server 2003 Service Pack 1 et Exchange Server 2003 Service Pack 2
Microsoft Exchange Server lors de l’exécution de la vulnérabilité Outlook Web Access - CVE-2006-1193 Exécution de code à distance Important Important

Cette évaluation est basée sur les types de systèmes affectés par la vulnérabilité, leurs modèles de déploiement classiques et l’effet que l’exploitation de la vulnérabilité aurait sur eux.

Quels sont les problèmes connus rencontrés par les clients lors de l’installation de cette mise à jour de sécurité ?
L’article de la Base de connaissances Microsoft 912442 documente les problèmes actuellement connus rencontrés par les clients lorsqu’ils installent cette mise à jour de sécurité sur Exchange Server 2003 Service Pack 1 et Exchange Server 2003 Service Pack 2. L’article documente également les solutions recommandées pour ces problèmes. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 912442. Article 912918 de la Base de connaissances Microsoft : les utilisateurs ne peuvent pas envoyer de messages électroniques à partir d’un appareil mobile ou d’une boîte aux lettres partagée dans Exchange 2000 Server et exchange Server 2003.

Cette mise à jour contient-elle des modifications liées à la sécurité apportées aux fonctionnalités ?
Oui. Outre les modifications répertoriées dans la section « Détails des vulnérabilités » de ce bulletin, cette mise à jour inclut les modifications suivantes dans les fonctionnalités de sécurité :

Avant les versions d’Exchange 2003 répertoriées ci-dessus, accordez implicitement l’autorisation d’accès aux boîtes aux lettres complète à envoyer en tant que propriétaire de la boîte aux lettres. Cela signifiait qu’un autre compte disposant d’un accès complet aux boîtes aux lettres pouvait envoyer des messages qui semblaient comme s’ils étaient envoyés par le propriétaire de la boîte aux lettres. Après avoir appliqué la mise à jour de sécurité sur Exchange Server 2003 Service Pack 1 ou Exchange Server 2003 Service Pack 2, pour qu’un utilisateur emprunte l’identité d’un propriétaire de boîte aux lettres, vous devez accorder des autorisations Envoyer en tant qu’utilisateur. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 912918.

Puis-je utiliser Microsoft Baseline Security Analyzer (Mo SA) pour déterminer si cette mise à jour est requise ?

Le tableau suivant fournit le résumé de la détection Mo SA pour cette mise à jour de sécurité.

Logiciel Mo SA 1.2.1 Mo SA 2.0
Microsoft Exchange 2000 Server Oui Oui
Microsoft Exchange Server 2003 Service Pack 1 Oui Oui
Microsoft Exchange Server 2003 Service Pack 2 Oui Oui

Pour plus d’informations sur Mo SA, visitez le site web Mo SA. Pour plus d’informations sur les programmes que Microsoft Update et Mo SA 2.0 ne détectent actuellement pas, consultez l’article 895660 de la Base de connaissances Microsoft

Puis-je utiliser Systems Management Server (SMS) pour déterminer si cette mise à jour est requise ?

Le tableau suivant fournit le résumé de la détection SMS pour cette mise à jour de sécurité.

Logiciel SMS 2.0 SMS 2003
Microsoft Exchange 2000 Server Oui Oui
Microsoft Exchange Server 2003 Service Pack 1 Oui Oui
Microsoft Exchange Server 2003 Service Pack 2 Oui Oui

SMS utilise Mo SA pour la détection. Par conséquent, SMS présente la même limitation que celle répertoriée précédemment dans ce bulletin lié aux logiciels que Mo SA ne détecte pas.

Pour SMS 2.0, le pack de fonctionnalités SMS SUS, qui inclut l’outil d’inventaire des mises à jour de sécurité, peut être utilisé par SMS pour détecter les mises à jour de sécurité. SMS SUIT utilise le moteur Mo SA 1.2.1 pour la détection. Pour plus d’informations sur l’outil d’inventaire des mises à jour de sécurité, visitez le site web Microsoft suivant. Pour plus d’informations sur les limitations de l’outil d’inventaire des mises à jour de sécurité, consultez l’article 306460 de la Base de connaissances Microsoft. Le pack de fonctionnalités SMS SUS inclut également l’outil d’inventaire Microsoft Bureau pour détecter les mises à jour requises pour microsoft application Office lications.

Pour SMS 2003, l’outil d’inventaire SMS 2003 pour Microsoft Mises à jour peut être utilisé par SMS pour détecter les mises à jour de sécurité proposées par Microsoft Update et prises en charge par Windows Server Update Services. Pour plus d’informations sur l’outil d’inventaire SMS 2003 pour Microsoft Mises à jour, visitez le site web Microsoft suivant. SMS 2003 peut également utiliser l’outil Microsoft Bureau Inventory pour détecter les mises à jour requises pour microsoft application Office lications.

Pour plus d’informations sur SMS, visitez le site web SMS.

Détails de la vulnérabilité

Microsoft Exchange Server lors de l’exécution de la vulnérabilité Outlook Web Access - CVE-2006-1193

Une vulnérabilité d’injection de script existe dans Exchange Server exécutant Outlook Web Access (OWA). Un attaquant peut exploiter la vulnérabilité en construisant un message électronique avec un script spécialement conçu. Si ce script spécialement conçu est exécuté, il s’exécute dans le contexte de sécurité de l’utilisateur sur le client. Les tentatives d’exploitation de cette vulnérabilité nécessitent une interaction utilisateur.

Atténuations pour Microsoft Exchange Server lors de l’exécution d’une vulnérabilité Outlook Web Access - CVE- CVE-2006-1193 :

  • Pour être affecté, un utilisateur doit utiliser Outlook Web Access pour lire un message électronique spécialement conçu.

Solutions de contournement pour Microsoft Exchange Server lors de l’exécution d’une vulnérabilité Outlook Web Access - CVE- CVE-2006-1193 :

Microsoft a testé les solutions de contournement suivantes. Bien que ces solutions de contournement ne corrigent pas la vulnérabilité sous-jacente, elles aident à bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit les fonctionnalités, elle est identifiée dans la section suivante.

  • Désactiver Outlook Web Access (OWA) sur un ordinateur exécutant Exchange Server disableing Outlook Web Access permet de protéger le système affecté contre les tentatives d’exploitation de cette vulnérabilité. Pour désactiver Outlook Web Access, procédez comme suit :
    1. Cliquez sur Démarrer, pointez sur Tous les programmes, pointez sur Microsoft Exchange, puis cliquez sur System Manager.
    2. Développez Serveurs, serveur, protocoles, puis HTTP.
    3. Cliquez avec le bouton droit sur Exchange Virtual Server, puis cliquez sur Arrêter.

Notez qu’une croix rouge s’affiche sur l’icône Exchange Virtual Server, indiquant qu’elle a été arrêtée. À partir de maintenant, les utilisateurs verront un message d’erreur Impossible d’afficher la page lorsqu’ils essaient d’accéder à leur courrier électronique via OWA.

Impact de la solution de contournement : cette solution empêche les utilisateurs d’accéder à leurs boîtes aux lettres via Outlook Web Access (OWA), Outlook Mobile Access (OMA) et Exchange Server ActiveSync.

FAQ sur Microsoft Exchange Server lors de l’exécution d’une vulnérabilité Outlook Web Access - CVE-2006-1193 :

Quelle est l’étendue de la vulnérabilité ?
Une vulnérabilité d’injection de script peut permettre à un attaquant d’exécuter un script malveillant. Si ce script malveillant est exécuté, il s’exécute dans le contexte de sécurité de l’utilisateur sur le client. Le script peut prendre n’importe quelle action sur l’ordinateur de l’utilisateur que le site Web est autorisé à entreprendre. Ces actions peuvent inclure la surveillance de la session Web de l’utilisateur et le transfert d’informations à un tiers, l’exécution d’un autre code sur le système de l’utilisateur et la lecture ou l’écriture de cookies.

Qu’est-ce qu’Outlook Web Access ?
Microsoft Outlook Web Access (OWA) est un service d’Exchange Server. En utilisant OWA, un serveur exécutant Exchange Server peut également fonctionner comme un site Web qui permet aux utilisateurs autorisés de lire et d’envoyer des messages électroniques, de gérer leur calendrier et d’effectuer d’autres fonctions de messagerie sur Internet.

Quelles sont les causes de la vulnérabilité ?
Cette vulnérabilité est due à la façon dont Outlook Web Access filtre incorrectement le script dans certaines circonstances dans un message électronique.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant peut essayer d’exploiter cette vulnérabilité en envoyant un message spécialement conçu à un utilisateur. L’utilisateur doit ensuite ouvrir le message à l’aide d’Outlook Web Access. Le message peut ensuite entraîner l’exécution du script par le système affecté dans le contexte de la session Outlook Web Access de l’utilisateur.

Quels utilisateurs sont principalement exposés à la vulnérabilité ?
Les utilisateurs qui utilisent Microsoft Exchange Outlook Web Access pour lire les messages électroniques sont principalement à risque.

Que fait la mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont Outlook Web Access gère l’analyse HTML.

Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Non. Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation responsable. Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été divulguée publiquement lorsque ce bulletin de sécurité a été émis à l’origine.

Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients et n’avait pas vu d’exemples de preuve de code de concept publié lorsque ce bulletin de sécurité a été émis à l’origine.

Informations sur les mises à jour de sécurité

Logiciels affectés :

Pour plus d’informations sur la mise à jour de sécurité spécifique pour votre logiciel concerné, cliquez sur le lien approprié :

Exchange Server 2003 Service Pack 2

Configuration requise :

Cette mise à jour de sécurité nécessite Exchange Server 2003 Service Pack 2.

Inclusion dans les Service Packs :

La mise à jour de ce problème peut être incluse dans un correctif cumulatif ou un correctif cumulatif. Aucun correctif cumulatif ou correctif cumulatif n’est prévu lors de la publication de ce bulletin de sécurité.

Informations d’installation :

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants.

Commutateur Description
/help Affiche les options de ligne de commande.
Modes d’installation
/passive Mode d’installation sans assistance. Aucune interaction utilisateur n’est requise, mais l’état de l’installation s’affiche. Si un redémarrage est requis à la fin de l’installation, une boîte de dialogue s’affiche à l’utilisateur avec un avertissement du minuteur indiquant que l’ordinateur redémarre en 30 secondes.
/quiet Mode silencieux. Il s’agit du même mode sans assistance, mais aucun état ou message d’erreur n’est affiché.
Options de redémarrage
/norestart Ne redémarre pas une fois l’installation terminée.
/forcerestart Redémarre l’ordinateur après l’installation et force d’autres applications à fermer à l’arrêt sans enregistrer d’abord les fichiers ouverts.
/warnrestart[ :x] Présente une boîte de dialogue avec un minuteur indiquant à l’utilisateur que l’ordinateur redémarre en x secondes. (Le paramètre par défaut est de 30 secondes.) Destiné à être utilisé avec le commutateur /quiet ou le commutateur /passive .
/promptrestart Afficher une boîte de dialogue invitant l’utilisateur local à autoriser un redémarrage.
Options spéciales
/overwriteoem Remplace les fichiers OEM sans demander d’invite.
/nobackup Ne sauvegarde pas les fichiers nécessaires à la désinstallation.
/forceappsclose Force d’autres programmes à fermer lorsque l’ordinateur s’arrête.
/log :path Autorise la redirection des fichiers journaux d’installation.
/integrate :path Intègre la mise à jour dans les fichiers sources Windows. Ces fichiers se trouvent au niveau du chemin d’accès spécifié dans le commutateur.
/extract[:p ath] Extrait les fichiers sans démarrer le programme d’installation.
/ER Active le rapport d’erreurs étendu.
/verbose Active la journalisation détaillée. Pendant l’installation, crée %Windir%\CabBuild.log. Ce journal détaille les fichiers copiés. L’utilisation de ce commutateur peut entraîner la progression de l’installation plus lentement.

Notez que vous pouvez combiner ces commutateurs en une seule commande. Pour la compatibilité descendante, la mise à jour de sécurité prend également en charge les commutateurs d’installation que la version antérieure du programme d’installation utilise. Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez l’article 262841 de la Base de connaissances Microsoft. Pour plus d’informations sur le programme d’installation de Update.exe, visitez le site web Microsoft TechNet.

Informations de déploiement

Pour installer la mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante à l’invite de commandes :

Exchange2003-Ko 912442-x86-enu /quiet

Configuration requise pour le redémarrage :

Cette mise à jour ne nécessite pas de redémarrage. Le programme d’installation arrête les services requis, applique la mise à jour, puis redémarre les services. Toutefois, si les services requis ne peuvent pas être arrêtés pour une raison quelconque ou si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche qui vous conseille de redémarrer. Pour réduire le risque qu’un redémarrage soit nécessaire, arrêtez tous les services affectés et fermez toutes les applications susceptibles d’utiliser les fichiers affectés avant d’installer la mise à jour de sécurité. Pour plus d’informations sur les raisons pour lesquelles vous pouvez être invité à redémarrer votre ordinateur, consultez l’article de la Base de connaissances Microsoft 887012.

Informations de suppression :

Pour supprimer cette mise à jour, utilisez Ajouter ou supprimer des programmes dans Panneau de configuration.

Les administrateurs système peuvent utiliser l’utilitaire Spuninst.exe pour supprimer cette mise à jour de sécurité. L’utilitaire Spuninst.exe se trouve dans le dossier %Windir%\$ExchUninstall 912442$\Spuninst.

Commutateur Description
/help Affiche les options de ligne de commande
Modes d’installation
/passive Mode d’installation sans assistance. Aucune interaction utilisateur n’est requise, mais l’état de l’installation s’affiche. Si un redémarrage est requis à la fin de l’installation, une boîte de dialogue s’affiche à l’utilisateur avec un avertissement du minuteur indiquant que l’ordinateur redémarre en 30 secondes.
/quiet Mode silencieux. Il s’agit du même mode sans assistance, mais aucun état ou message d’erreur n’est affiché.
Options de redémarrage
/norestart Ne redémarre pas une fois l’installation terminée.
/forcerestart Redémarre l’ordinateur après l’installation et force d’autres applications à fermer à l’arrêt sans enregistrer d’abord les fichiers ouverts.
/warnrestart[ :x] Présente une boîte de dialogue avec un minuteur indiquant à l’utilisateur que l’ordinateur redémarre en x secondes. (Le paramètre par défaut est de 30 secondes.) Destiné à être utilisé avec le commutateur /quiet ou le commutateur /passive .
/promptrestart Afficher une boîte de dialogue invitant l’utilisateur local à autoriser un redémarrage.
Options spéciales
/forceappsclose Force d’autres programmes à fermer lorsque l’ordinateur s’arrête.
/log :path Autorise la redirection des fichiers journaux d’installation.

Informations sur le fichier :

La version anglaise de ce correctif contient les attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations du fichier, elle est convertie en heure locale. Pour trouver la différence entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire dans l’outil Date et Heure dans Panneau de configuration.

Exchange Server 2003 Service Pack 2 :

Nom du fichier Version Date Heure Taille
Mdbmsg.dll 6.5.7650.28 31-Jan-2006 21:10 3,351,040
Store.exe 6.5.7650.28 31-Jan-2006 22:18 5,249,536

Vérification de l’application de la mise à jour

  • Microsoft Baseline Security Analyzer
    Pour vérifier qu’une mise à jour de sécurité a été appliquée à un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA). Mo SA permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et pour les configurations incorrectes de sécurité courantes. Pour plus d’informations sur Mo SA, visitez le site web Microsoft Baseline Security Analyzer.

  • Vérification de version de fichier
    Notez qu’il existe plusieurs versions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre ordinateur. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.

    1. Cliquez sur Démarrer, puis sur Rechercher.
    2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
    3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
    4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.
      Notez que , selon la version du système d’exploitation ou des programmes installés, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.
    5. Sous l’onglet Version , déterminez la version du fichier installé sur votre ordinateur en la comparant à la version documentée dans la table d’informations de fichier appropriée.
      Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier que la mise à jour a été appliquée. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.
  • Vérification de la clé de Registre
    Vous pouvez également vérifier les fichiers installés par cette mise à jour de sécurité en examinant la clé de Registre suivante :

    HKEY_LOCAl_MACHINE\SOFTWARE\Microsoft\Mises à jour\Exchange Server 2003\SP3\Ko 912442\Filelist

Notez que cette clé de Registre peut ne pas contenir la liste complète des fichiers installés. En outre, cette clé de Registre peut ne pas être créée correctement lorsqu’un administrateur ou un OEM intègre ou glisse la mise à jour de sécurité Ko 912442 dans les fichiers sources d’installation Windows.

Exchange Server 2003 Service Pack 1

Configuration requise :

Cette mise à jour de sécurité nécessite Exchange Server 2003 Service Pack 1.

Inclusion dans les Service Packs :

La mise à jour de ce problème peut être incluse dans un correctif cumulatif ou un correctif cumulatif. Aucun correctif cumulatif ou correctif cumulatif n’est prévu lors de la publication de ce bulletin de sécurité.

Informations d’installation :

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants.

Commutateur Description
/help Affiche les options de ligne de commande.
Modes d’installation
/passive Mode d’installation sans assistance. Aucune interaction utilisateur n’est requise, mais l’état de l’installation s’affiche. Si un redémarrage est requis à la fin de l’installation, une boîte de dialogue s’affiche à l’utilisateur avec un avertissement du minuteur indiquant que l’ordinateur redémarre en 30 secondes.
/quiet Mode silencieux. Il s’agit du même mode sans assistance, mais aucun état ou message d’erreur n’est affiché.
Options de redémarrage
/norestart Ne redémarre pas une fois l’installation terminée.
/forcerestart Redémarre l’ordinateur après l’installation et force d’autres applications à fermer à l’arrêt sans enregistrer d’abord les fichiers ouverts.
/warnrestart[ :x] Présente une boîte de dialogue avec un minuteur indiquant à l’utilisateur que l’ordinateur redémarre en x secondes. (Le paramètre par défaut est de 30 secondes.) Destiné à être utilisé avec le commutateur /quiet ou le commutateur /passive .
/promptrestart Afficher une boîte de dialogue invitant l’utilisateur local à autoriser un redémarrage.
Options spéciales
/overwriteoem Remplace les fichiers OEM sans demander d’invite.
/nobackup Ne sauvegarde pas les fichiers nécessaires à la désinstallation.
/forceappsclose Force d’autres programmes à fermer lorsque l’ordinateur s’arrête.
/log :path Autorise la redirection des fichiers journaux d’installation.
/integrate :path Intègre la mise à jour dans les fichiers sources Windows. Ces fichiers se trouvent au niveau du chemin d’accès spécifié dans le commutateur.
/extract[:p ath] Extrait les fichiers sans démarrer le programme d’installation.
/ER Active le rapport d’erreurs étendu.
/verbose Active la journalisation détaillée. Pendant l’installation, crée %Windir%\CabBuild.log. Ce journal détaille les fichiers copiés. L’utilisation de ce commutateur peut entraîner la progression de l’installation plus lentement.

Notez que vous pouvez combiner ces commutateurs en une seule commande. Pour la compatibilité descendante, la mise à jour de sécurité prend également en charge les commutateurs d’installation que la version antérieure du programme d’installation utilise. Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez l’article 262841 de la Base de connaissances Microsoft. Pour plus d’informations sur le programme d’installation de Update.exe, visitez le site web Microsoft TechNet.

Informations de déploiement

Pour installer la mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante à l’invite de commandes :

Exchange2003-Ko 912442-x86-enu /quiet

Configuration requise pour le redémarrage :

Cette mise à jour ne nécessite pas de redémarrage. Le programme d’installation arrête les services requis, applique la mise à jour, puis redémarre les services. Toutefois, si les services requis ne peuvent pas être arrêtés pour une raison quelconque ou si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche qui vous conseille de redémarrer. Pour réduire le risque qu’un redémarrage soit nécessaire, arrêtez tous les services affectés et fermez toutes les applications susceptibles d’utiliser les fichiers affectés avant d’installer la mise à jour de sécurité. Pour plus d’informations sur les raisons pour lesquelles vous pouvez être invité à redémarrer votre ordinateur, consultez l’article de la Base de connaissances Microsoft 887012.

Informations de suppression :

Pour supprimer cette mise à jour, utilisez Ajouter ou supprimer des programmes dans Panneau de configuration.

Les administrateurs système peuvent utiliser l’utilitaire Spuninst.exe pour supprimer cette mise à jour de sécurité. L’utilitaire Spuninst.exe se trouve dans le dossier %Windir%\$ExchUninstall 912442$\Spuninst.

Commutateur Description
/help Affiche les options de ligne de commande
Modes d’installation
/passive Mode d’installation sans assistance. Aucune interaction utilisateur n’est requise, mais l’état de l’installation s’affiche. Si un redémarrage est requis à la fin de l’installation, une boîte de dialogue s’affiche à l’utilisateur avec un avertissement du minuteur indiquant que l’ordinateur redémarre en 30 secondes.
/quiet Mode silencieux. Il s’agit du même mode sans assistance, mais aucun état ou message d’erreur n’est affiché.
Options de redémarrage
/norestart Ne redémarre pas une fois l’installation terminée.
/forcerestart Redémarre l’ordinateur après l’installation et force d’autres applications à fermer à l’arrêt sans enregistrer d’abord les fichiers ouverts.
/warnrestart[ :x] Présente une boîte de dialogue avec un minuteur indiquant à l’utilisateur que l’ordinateur redémarre en x secondes. (Le paramètre par défaut est de 30 secondes.) Destiné à être utilisé avec le commutateur /quiet ou le commutateur /passive .
/promptrestart Afficher une boîte de dialogue invitant l’utilisateur local à autoriser un redémarrage.
Options spéciales
/forceappsclose Force d’autres programmes à fermer lorsque l’ordinateur s’arrête.
/log :path Autorise la redirection des fichiers journaux d’installation.

Informations sur le fichier :

La version anglaise de ce correctif contient les attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations du fichier, elle est convertie en heure locale. Pour trouver la différence entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire dans l’outil Date et Heure dans Panneau de configuration.

Exchange Server 2003 Service Pack 1 :

Nom du fichier Version Date Heure Taille
Mdbmsg.dll 6.5.7233.69 28-Jan-2006 01:19 3,269,632
Store.exe 6.5.7233.69 28-Jan-2006 01:03 4,834,816

Vérification de l’application de la mise à jour

  • Microsoft Baseline Security Analyzer
    Pour vérifier qu’une mise à jour de sécurité a été appliquée à un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA). Mo SA permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et pour les configurations incorrectes de sécurité courantes. Pour plus d’informations sur Mo SA, visitez le site web Microsoft Baseline Security Analyzer.

  • Vérification de version de fichier
    Notez qu’il existe plusieurs versions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre ordinateur. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.

    1. Cliquez sur Démarrer, puis sur Rechercher.
    2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
    3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
    4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.
      Notez que , selon la version du système d’exploitation ou des programmes installés, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.
    5. Sous l’onglet Version , déterminez la version du fichier installé sur votre ordinateur en la comparant à la version documentée dans la table d’informations de fichier appropriée.
      Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier que la mise à jour a été appliquée. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.
  • Vérification de la clé de Registre
    Vous pouvez également vérifier les fichiers installés par cette mise à jour de sécurité en examinant la clé de Registre suivante :

    HKEY_LOCAl_MACHINE\SOFTWARE\Microsoft\Mises à jour\Exchange Server 2003\SP2\Ko 912442\Filelist

Notez que cette clé de Registre peut ne pas contenir la liste complète des fichiers installés. En outre, cette clé de Registre peut ne pas être créée correctement lorsqu’un administrateur ou un OEM intègre ou glisse la mise à jour de sécurité Ko 912442 dans les fichiers sources d’installation Windows.

avec correctif cumulatif 870540

Configuration requise :

Cette mise à jour de sécurité nécessite Exchange 2000 Server Service Pack 3 avec le correctif cumulatif Exchange 2000 Server Post-Service Pack 3 (SP3). Pour plus d’informations, consultez l’article 870540 de la Base de connaissances Microsoft. Pour télécharger la mise à jour requise, visitez ce site web.

Inclusion dans Service Packs :

La mise à jour de ce problème peut être incluse dans un correctif cumulatif. Aucun correctif cumulatif n’est prévu au moment de la publication de ce bulletin de sécurité.

Informations d’installation :

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants.

Commutateur Description
/help Affiche les options de ligne de commande.
Modes d’installation
/passive Mode d’installation sans assistance. Aucune interaction utilisateur n’est requise, mais l’état de l’installation s’affiche. Si un redémarrage est requis à la fin de l’installation, une boîte de dialogue s’affiche à l’utilisateur avec un avertissement du minuteur indiquant que l’ordinateur redémarre en 30 secondes.
/quiet Mode silencieux. Il s’agit du même mode sans assistance, mais aucun état ou message d’erreur n’est affiché.
Options de redémarrage
/norestart Ne redémarre pas une fois l’installation terminée.
/forcerestart Redémarre l’ordinateur après l’installation et force d’autres applications à fermer à l’arrêt sans enregistrer d’abord les fichiers ouverts.
/warnrestart[ :x] Présente une boîte de dialogue avec un minuteur indiquant à l’utilisateur que l’ordinateur redémarre en x secondes. (Le paramètre par défaut est de 30 secondes.) Destiné à être utilisé avec le commutateur /quiet ou le commutateur /passive .
/promptrestart Afficher une boîte de dialogue invitant l’utilisateur local à autoriser un redémarrage.
Options spéciales
/overwriteoem Remplace les fichiers OEM sans demander d’invite.
/nobackup Ne sauvegarde pas les fichiers nécessaires à la désinstallation.
/forceappsclose Force d’autres programmes à fermer lorsque l’ordinateur s’arrête.
/log :path Autorise la redirection des fichiers journaux d’installation.
/integrate :path Intègre la mise à jour dans les fichiers sources Windows. Ces fichiers se trouvent au niveau du chemin d’accès spécifié dans le commutateur.
/extract[:p ath] Extrait les fichiers sans démarrer le programme d’installation.
/ER Active le rapport d’erreurs étendu.
/verbose Active la journalisation détaillée. Pendant l’installation, crée %Windir%\CabBuild.log. Ce journal détaille les fichiers copiés. L’utilisation de ce commutateur peut entraîner la progression de l’installation plus lentement.

Notez que vous pouvez combiner ces commutateurs en une seule commande. Pour la compatibilité descendante, la mise à jour de sécurité prend également en charge les commutateurs d’installation que la version antérieure du programme d’installation utilise. Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez l’article 262841 de la Base de connaissances Microsoft. Pour plus d’informations sur le programme d’installation de Update.exe, visitez le site web Microsoft TechNet.

Informations de déploiement

Pour installer la mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante à l’invite de commandes :

Exchange2000-Ko 912442-x86-enu /quiet

Configuration requise pour le redémarrage :

Cette mise à jour ne nécessite pas de redémarrage. Le programme d’installation arrête les services requis, applique la mise à jour, puis redémarre les services. Toutefois, si les services requis ne peuvent pas être arrêtés pour une raison quelconque ou si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche qui vous conseille de redémarrer. Pour réduire le risque qu’un redémarrage soit nécessaire, arrêtez tous les services affectés et fermez toutes les applications susceptibles d’utiliser les fichiers affectés avant d’installer la mise à jour de sécurité. Pour plus d’informations sur les raisons pour lesquelles vous pouvez être invité à redémarrer votre ordinateur, consultez l’article de la Base de connaissances Microsoft 887012.

Informations de suppression :

Pour supprimer cette mise à jour, utilisez Ajouter ou supprimer des programmes dans Panneau de configuration.

Les administrateurs système peuvent utiliser l’utilitaire Spuninst.exe pour supprimer cette mise à jour de sécurité. L’utilitaire Spuninst.exe se trouve dans le dossier %Windir%\$ExchUninstall 912442$\Spuninst.

Commutateur Description
/help Affiche les options de ligne de commande.
Modes d’installation
/passive Mode d’installation sans assistance. Aucune interaction utilisateur n’est requise, mais l’état de l’installation s’affiche. Si un redémarrage est requis à la fin de l’installation, une boîte de dialogue s’affiche à l’utilisateur avec un avertissement du minuteur indiquant que l’ordinateur redémarre en 30 secondes.
/quiet Mode silencieux. Il s’agit du même mode sans assistance, mais aucun état ou message d’erreur n’est affiché.
Options de redémarrage
/norestart Ne redémarre pas une fois l’installation terminée.
/forcerestart Redémarre l’ordinateur après l’installation et force d’autres applications à fermer à l’arrêt sans enregistrer d’abord les fichiers ouverts.
/warnrestart[ :x] Présente une boîte de dialogue avec un minuteur indiquant à l’utilisateur que l’ordinateur redémarre en x secondes. (Le paramètre par défaut est de 30 secondes.) Destiné à être utilisé avec le commutateur /quiet ou le commutateur /passive .
/promptrestart Afficher une boîte de dialogue invitant l’utilisateur local à autoriser un redémarrage.
Options spéciales
/forceappsclose Force d’autres programmes à fermer lorsque l’ordinateur s’arrête.
/log :path Autorise la redirection des fichiers journaux d’installation.

Informations sur le fichier :

La version anglaise de ce correctif contient les attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations du fichier, elle est convertie en heure locale. Pour trouver la différence entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire dans l’outil Date et Heure dans Panneau de configuration.

Exchange 2000 Server Service Pack 3 :

Nom du fichier Version Date Heure Taille
Mdbmsg.dll 6.0.6618.4 31-Jan-2006 05:21 2,342,912
Store.exe 6.0.6618.4 31-Jan-2006 19:04 4,714,496

Vérification de l’application de la mise à jour

  • Microsoft Baseline Security Analyzer
    Pour vérifier qu’une mise à jour de sécurité a été appliquée à un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA). Mo SA permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et pour les configurations incorrectes de sécurité courantes. Pour plus d’informations sur Mo SA, visitez le site web Microsoft Baseline Security Analyzer.

  • Vérification de version de fichier
    Notez qu’il existe plusieurs versions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre ordinateur. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.

    1. Cliquez sur Démarrer, puis sur Rechercher.
    2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
    3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
    4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.
      Notez que , selon la version du système d’exploitation ou des programmes installés, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.
    5. Sous l’onglet Version , déterminez la version du fichier installé sur votre ordinateur en la comparant à la version documentée dans la table d’informations de fichier appropriée.
      Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier que la mise à jour a été appliquée. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.
  • Vérification de la clé de Registre
    Vous pouvez également vérifier les fichiers installés par cette mise à jour de sécurité en examinant la clé de Registre suivante :

    HKEY_LOCAl_MACHINE\SOFTWARE\Microsoft\Mises à jour\Exchange Server 2000\SP4\Ko 912442\Filelist

Notez que cette clé de Registre peut ne pas contenir la liste complète des fichiers installés. En outre, cette clé de Registre peut ne pas être créée correctement lorsqu’un administrateur ou un OEM intègre ou glisse la mise à jour de sécurité Ko 912442 dans les fichiers sources d’installation Windows.

Autres informations

Accusés de réception

Microsoft remercie ce qui suit pour nous aider à protéger les clients :

  • Daniel Fabian of SEC Consult for reporting the Microsoft Exchange Server when running Outlook Web Access Vulnerability - CVE-2006-1193

Obtention d’autres Mises à jour de sécurité :

Mises à jour pour d’autres problèmes de sécurité sont disponibles aux emplacements suivants :

  • Les mises à jour de sécurité sont disponibles dans le Centre de téléchargement Microsoft. Vous pouvez les trouver plus facilement en effectuant une recherche mot clé pour « security_patch ».
  • Mises à jour pour les plateformes grand public sont disponibles à l’adresse Site web Microsoft Update.

Support :

  • Les clients aux États-Unis et au Canada peuvent recevoir un support technique de Microsoft Product Support Services au 1-866-PCSAFETY. Il n’existe aucun frais pour les appels de support associés aux mises à jour de sécurité.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Il n’existe aucun frais pour la prise en charge associée aux mises à jour de sécurité. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support, visitez le site web du support international.

Ressources de sécurité :

Software Update Services :

En utilisant Microsoft Software Update Services (SUS), les administrateurs peuvent déployer rapidement et de manière fiable les dernières mises à jour critiques et mises à jour de sécurité sur les serveurs Windows 2000 et Windows Server 2003, ainsi que sur les systèmes de bureau exécutant Windows 2000 Professionnel ou Windows XP Professionnel.

Pour plus d’informations sur le déploiement des mises à jour de sécurité à l’aide de Software Update Services, visitez le site web des services de mise à jour logicielle.

Windows Server Update Services :

À l’aide de Windows Server Update Services (WSUS), les administrateurs peuvent déployer rapidement et de manière fiable les dernières mises à jour critiques et mises à jour de sécurité pour les systèmes d’exploitation Windows 2000 et versions ultérieures, Bureau XP et versions ultérieures, Exchange Server 2003 et SQL Server 2000 sur windows 2000 et versions ultérieures.

Pour plus d’informations sur le déploiement des mises à jour de sécurité à l’aide de Windows Server Update Services, visitez le site web windows Server Update Services.

Serveur d’administration des systèmes :

Microsoft Systems Management Server (SMS) fournit une solution d’entreprise hautement configurable pour la gestion des mises à jour. En utilisant SMS, les administrateurs peuvent identifier les systèmes Windows qui nécessitent des mises à jour de sécurité et peuvent effectuer un déploiement contrôlé de ces mises à jour dans l’entreprise avec une interruption minimale pour les utilisateurs finaux. Pour plus d’informations sur la façon dont les administrateurs peuvent utiliser SMS 2003 pour déployer des mises à jour de sécurité, visitez le site web de gestion des correctifs de sécurité SMS 2003. Les utilisateurs sms 2.0 peuvent également utiliser software Mises à jour Service Feature Pack pour aider à déployer des mises à jour de sécurité. Pour plus d’informations sur SMS, visitez le site web SMS.

Notez que SMS utilise Microsoft Baseline Security Analyzer, Microsoft Bureau Detection Tool et Enterprise Update Scan Tool pour fournir une prise en charge étendue de la détection et du déploiement des mises à jour des bulletins de sécurité. Certaines mises à jour logicielles peuvent ne pas être détectées par ces outils. Administration istrateurs peuvent utiliser les fonctionnalités d’inventaire des SMS dans ces cas pour cibler les mises à jour vers des systèmes spécifiques. Pour plus d’informations sur cette procédure, visitez le site web suivant. Certaines mises à jour de sécurité nécessitent des droits d’administration après un redémarrage du système. Administration istrateurs peuvent utiliser l’outil de déploiement de droits élevés (disponible dans le pack de fonctionnalités SMS 2003 Administration istration et dans le pack de fonctionnalités SMS 2.0 Administration istration) pour installer ces mises à jour.

Exclusion de responsabilité :

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions:

  • V1.0 (13 juin 2006) : Bulletin publié.

Construit à 2014-04-18T13 :49 :36Z-07 :00