MS01-037:SMTP 服务中的身份验证错误可能允许邮件中继转发

文章翻译 文章翻译
文章编号: 302755 - 查看本文应用于的产品
本文的发布号曾为 CHS302755
本文已归档。它按“原样”提供,并且不再更新。
展开全部 | 关闭全部

症状

Windows 2000 SMTP 服务中存在安全漏洞,利用这个漏洞,未经授权的用户能够使用 Windows 2000 服务器进行邮件中继转发。通过这种手段,攻击者能够伪装电子邮件信息的发出位置,或者占有服务器的资源发送大量邮件。这种安全漏洞受以下约束的限制:
  • 它只影响运行本机 Windows 2000 邮件服务的服务器。运行 Microsoft Exchange(即使在 Windows 2000 上)的邮件服务器不会受到影响。
  • 即使计算机安装了本机 Windows 2000 邮件服务,它也只有在被配置为独立计算机而不是域成员时才会受到影响。
  • 正确使用防火墙可以防止 Internet 用户暴露安全漏洞。

原因

此安全漏洞产生的原因是作为 Microsoft Internet 信息服务 (IIS) 的一部分安装的 SMTP 服务中的身份验证错误。当服务器是独立计算机而不是域成员时,未经授权的用户有可能通过计算机的身份验证,从而利用它进行邮件中继转发。

解决方案

要解决此问题,可获取本节中提到的修补程序或 Windows 2000 Security Rollup Package 1 (SRP1)。有关 SRP1 的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
311401 Windows 2000 Security Rollup Package 1 (SRP1), January 2002(Windows 2000 Security Rollup Package 1 (SRP1),2002 年 1 月)
要解决此问题,请获取 Windows 2000 的最新 Service Pack。有关其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
260910如何获得最新的 Windows 2000 Service Pack
可以从 Microsoft 下载中心下载下列文件:
英文(美国):
收起这个图片展开这个图片
 下载
立即下载 Q302755_w2k_sp3_x86_en.exe

德语:
收起这个图片展开这个图片
 下载
立即下载 Q302755_w2k_sp3_x86_de.exe

发行日期:2001 年 7 月 5 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
119591 How to Obtain Microsoft Support Files from Online Services(如何从联机服务获取 Microsoft 支持文件)
Microsoft 已对此文件进行了病毒扫描。在发表当日 Microsoft 使用了最新的病毒检测软件以扫描此文件是否有病毒。此文件保存在安全服务器上,以防对它进行任何未经授权的更改。

该修补程序的英文版应具有如下文件属性或更新的属性:
日期       时间   版本        大小     文件名
   --------------------------------------------------------
6/25/2001   08:13p   5.0.2195.3712   320,784   Aqueue.dll
6/25/2001   08:13p   5.0.2195.3712    66,832   Mailmsg.dll
6/25/2001   08:13p   5.0.2195.3649    38,160   Ntfsdrv.dll
6/25/2001   08:13p   5.0.2195.3779   434,448   Smtpsvc.dll
 

状态

Microsoft 已证实此问题可能会在 Microsoft Windows 2000 中产生一定程度的安全问题。 此问题最先是在 Windows 2000 Service Pack 3 中更正的。

更多信息

有关此漏洞的更多信息,请访问以下 Microsoft Web 站点:
http://www.microsoft.com/technet/security/bulletin/ms01-037.mspx
有关如何获得 Windows 2000 Datacenter Server 修补程序的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
265173Datacenter 程序和 Windows 2000 Datacenter Server 产品
有关如何在重新启动一次的情况下安装多个修补程序的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
296861 Use QChain.exe to Install Multiple Hotfixes with One Reboot(使用 QChain.exe 在重启一次的情况下安装多个修补程序)

属性

文章编号: 302755 - 最后修改: 2013年10月24日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
关键字:?
kbnosurvey kbarchive kbbug kbfix kbwin2000presp3fix kbsecvulnerability kbtool kbqfe kbsysadmin kbwin2000sp3fix kbenv kbsecurity kbsechack kbhotfixserver KB302755
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com