MS01-037: Verificatiefout in SMTP-service maakt onbevoegd doorsturen van e-mail mogelijk

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 302755 - Bekijk de producten waarop dit artikel van toepassing is.
Dit artikel is eerder gepubliceerd onder NL302755
Dit artikel is gearchiveerd. Het wordt aangeboden in de huidige vorm en wordt niet meer bijgewerkt.
Alles uitklappen | Alles samenvouwen

Symptomen

Een beveiligingslek in de SMTP-service van Windows 2000 kan tot gevolg hebben dat een onbevoegde gebruiker e-mail doorstuurt via een Windows 2000-server. Dit betekent dat een hacker de bron van een e-mailbericht kan vervalsen of de bronnen van een server kan gebruiken voor mailings. De impact van dit beveiligingsprobleem wordt beperkt door de volgende voorwaarden:
  • Het probleem geldt alleen voor servers waarop de ingebouwde e-mailservice van Windows 2000 wordt gebruikt. E-mailservers met Microsoft Exchange (ook onder Windows 2000) worden niet bedreigd.
  • Zelfs een computer met de oorspronkelijke e-mailservice van Windows 2000 wordt alleen bedreigd als de computer is geconfigureerd als een zelfstandige computer en niet als lid van een domein.
  • Een goed geconfigureerde firewall kan voorkomen dat Internet-gebruikers misbruik maken van dit beveiligingslek.

Oorzaak

De oorzaak van dit lek is een verificatiefout in de SMTP-service die wordt geïnstalleerd als onderdeel van Microsoft Internet Information Services (IIS). In het geval waar de server een zelfstandige computer is en dus geen lid is van een domein, heeft een onbevoegde gebruiker in theorie de mogelijkheid zich te laten verifiëren op de computer en deze vervolgens te gebruiken voor het doorsturen van e-mail.

Oplossing

U kunt dit probleem oplossen met de hotfix die in dit onderwerp wordt vermeld of met Windows 2000 Security Rollup Package 1 (SRP1). Klik voor meer informatie over SRP1 op het volgende artikelnummer in de Microsoft Knowledge Base:
311401 Windows 2000 Security Rollup Package 1 (SRP1), January 2002
Microsoft heeft nu een correctie beschikbaar gesteld. Deze correctie is echter alleen bestemd voor het in dit artikel beschreven probleem en dient alleen te worden toegepast op systemen waarvan is vastgesteld dat ze deze zwakke plek vertonen. Controleer de fysieke toegankelijkheid van uw computer, netwerk en Internet-verbinding en andere factoren om vast te stellen hoe kwetsbaar uw computer is. Raadpleeg het bijbehorende Microsoft Security Bulletin om dit vast te stellen. Deze correctie wordt later aan extra tests onderworpen om de productkwaliteit verder te verhogen. Als de computer redelijk kwetsbaar is, wordt u aangeraden deze correctie nu te installeren. Als dit niet het geval is, kunt u wachten op het volgende service pack voor Windows 2000 waarin deze correctie is opgenomen.

Als u het probleem onmiddellijk wilt verhelpen, downloadt u de correctie volgens de aanwijzingen hieronder of neemt u contact op met Microsoft Product Support Services om de correctie op te halen. Een volledige lijst met telefoonnummers van Microsoft Product Support Services en informatie over kosten van ondersteuning vindt u op het volgende adres op het World Wide Web:

http://support.microsoft.com/directory/overview.asp
OPMERKING: in speciale gevallen kunnen kosten die normaal verbonden zijn aan ondersteuningsoproepen, worden geannuleerd als een medewerker van Microsoft Productondersteuning van mening is dat een specifieke update de oplossing van uw probleem is. Normale ondersteuningskosten blijven gelden voor extra ondersteuningsvragen die niet in aanmerking komen voor de specifieke update in kwestie.

U kunt het volgende bestand downloaden vanaf het Microsoft Download Center:
Engels (Amerikaans):
Deze afbeelding samenvouwenDeze afbeelding uitklappen

Downloaden
Q302755_w2k_sp3_x86_en.exe nu downloaden

Duits:
Deze afbeelding samenvouwenDeze afbeelding uitklappen

Downloaden
Q302755_w2K_sp3_x86_de.exe nu downloaden

Releasedatum: 5 juli 2001

Voor meer informatie over het downloaden van Microsoft-ondersteuningsbestanden klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft heeft bij het uploaden van dit bestand de meest recente antivirussoftware gebruikt om het bestand te controleren op virussen. Na het uploaden is het bestand ondergebracht op beveiligde servers die elke onbevoegde wijziging aan het bestand verhinderen.

De Engelse versie van deze correctie moet de volgende (of latere) bestandskenmerken hebben:
   Datum       Tijd     Versie          Grootte   Bestandsnaam
   -----------------------------------------------------------
   6/25/2001   08:13p   5.0.2195.3712   320,784   Aqueue.dll
   6/25/2001   08:13p   5.0.2195.3712    66,832   Mailmsg.dll
   6/25/2001   08:13p   5.0.2195.3649    38,160   Ntfsdrv.dll
   6/25/2001   08:13p   5.0.2195.3779   434,448   Smtpsvc.dll
 

Status

Microsoft heeft bevestigd dat dit probleem een vermindering van de beveiliging in Microsoft Windows 2000 kan veroorzaken.

Meer informatie

Als u meer informatie wilt over deze zwakke plek, gaat u naar de volgende Microsoft-website:
http://www.microsoft.com/technet/security/bulletin/ms01-037.mspx
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het verkrijgen van een hotfix voor Windows 2000 Datacenter Server:
265173 Datacenter Program and Windows 2000 Datacenter Server Product
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het installeren van meerdere hotfixes met slechts één keer opnieuw opstarten:
296861 QChain.exe gebruiken om meerdere hotfixes te installeren, waarbij de computer maar één keer hoeft te worden opgestart

Eigenschappen

Artikel ID: 302755 - Laatste beoordeling: woensdag 5 februari 2014 - Wijziging: 5.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows® 2000 Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
Trefwoorden: 
kbnosurvey kbarchive kbbug kbfix kbwin2000presp3fix kbsecvulnerability kbtool kbqfe kbwin2000sp3fix kbenv kbsecurity kbsechack kbhotfixserver KB302755

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com