MS03-007: Ukontrolleret buffer i Windows-komponent kan svække sikkerheden på webservere

Artikel-id: 815021 - Få vist de produkter, som denne artikel refererer til.
Microsoft udgav oprindeligt denne artikel 17. marts 2003. På det tidspunkt var Microsoft opmærksom på en offentlig tilgængelig metode, der blev brugt til at angribe Windows 2000-servere, der kørte IIS 5.0. Målet for angrebene var i dette tilfælde WebDAV, selvom den underliggende svaghed fandtes i den vigtige komponent Ntdll.dll til operativsystemet. Microsoft udgav kort derefter en programrettelse for at beskytte Windows 2000-kunderne, men fortsatte samtidig med at undersøge den underliggende svaghed. Den underliggende svaghed findes også i Windows NT 4.0 i filen Ntdll.dll, men da den ikke understøtter WebDAV, var den kendte metode ikke effektiv mod Windows NT 4.0. Microsoft har nu udgivet programrettelser til Windows NT 4.0. Derudover har Microsoft påvist den samme svaghed i Windows XP. Men Windows XP installerer på samme måde som Windows NT 4.0 ikke IIS (Internet Information Services) som standard. D. 28. maj 2003 udgav Microsoft en programrettelse til Windows XP og Windows XP Service Pack 1.

Advarsel! Hvis du kører Windows 2000 Service Pack 2 (SP2), skal du kontrollere, hvilken version af filen Ntoskrnl.exe du har på computeren, før du installerer denne programrettelse. Sådan gøres det:
  1. Åbn mappen %Windir%\System32.
  2. Højreklik på filen Ntoskrnl.exe, klik på Egenskaber, og klik derefter på fanen Version.
Versioner af Ntoskrnl.exe fra 5.0.2195.4797 til 5.0.2195.4928 er ikke kompatible med denne programrettelse. Disse versioner er kun distribueret sammen med hotfixes fra Microsoft Support. Hvis du installerer programrettelsen, som er beskrevet i denne artikel, på en computer med en Ntoskrnl.exe-version fra 5.0.2195.4797 til 5.0.2195.4928, ophører computeren med at svare med en "Stop 0x00000071"-meddelelse, når du genstarter computeren. Hvis dette sker, skal du genoprette installationen af Windows ved hjælp af Windows 2000 Genoprettelseskonsol og sikkerhedskopien af filen Ntdll.dll, som lagres i mappen Winnt\$NTUninstallQ815021$.

Hvis du skal opdatere en computer, der har en version af Ntoskrnl.exe, som er distribueret af Microsoft Support, skal du kontakte Microsoft Support, før du anvender denne programrettelse. En udførlig liste over telefonnumre til Microsoft Produktsupport og oplysninger om supportomkostninger finder du på følgende Microsoft-websted:
http://support.microsoft.com/selectassist
(http://support.microsoft.com/selectassist)
Du kan også opgradere til Windows 2000 Service Pack 3 (SP3), før du installerer denne programrettelse.
Udvid alle | Skjul alle

På denne side

Symptomer

Windows 2000 understøtter protokollen World Wide Web Distributed Authoring and Versioning (WebDAV). WebDAV, som den beskrives i RFC 2518, er et sæt udvidelser til Hypertext Transfer Protocol (HTTP), der indeholder en standard for redigering og filhåndtering mellem computere på internettet. Hvis du vil se RFC 2518, kan du besøge følgende RFC-websted:
ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt
(ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt)
Kontaktoplysninger om tredjepart er taget med for at gøre det lettere for dig at finde den ønskede tekniske support. Disse kontaktoplysninger kan ændres uden varsel. Microsoft kan ikke garantere, at kontaktoplysningerne vedrørende tredjepart er nøjagtige.

Der er en sikkerhedssvaghed i en Windows-komponent, som bruges af WebDAV. Denne svaghed opstår, fordi komponenten indeholder en ukontrolleret buffer.

En angriber kan udnytte denne svaghed ved at sende en særligt udformet HTTP-anmodning til en computer, der kører Microsoft Internet Information Services (IIS). Anmodningen kan få serveren til at gå ned eller køre kode, som angriberen har valgt. Koden vil køre i IIS-tjenestens sikkerhedskontekst. (Som standard kører IIS-tjenesten i konteksten LocalSystem).

Selvom Microsoft har udgivet en programrettelse til at udbedre denne svaghed og anbefaler, at du installerer den med det samme, er der også andre værktøjer og præventive midler, som du kan bruge til at blokere for udnyttelse af denne svaghed, når du vurderer programrettelsens effekt og kompatibilitet. Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
816930
(http://support.microsoft.com/kb/816930/EN-US/ )
MS03-007: Sådan løses problemet med den sikkerhedssvaghed, der omtales i Microsoft Knowledge Base-artikel 815021

Formildende faktorer

  • Standardkonfigurationen af URLScan forhindrer, at svagheden udnyttes. URLScan er en del af værktøjet IIS Lockdown. Yderligere oplysninger om URLScan finder du ved at besøge følgende Microsoft-websted:
    http://www.microsoft.com/technet/security/URLScan.asp
    (http://www.microsoft.com/technet/security/URLScan.asp)
    Yderligere oplysninger om værktøjet IIS Lockdown finder du ved at besøge følgende websted:
    http://www.microsoft.com/technet/security/tools/locktool.mspx
    (http://www.microsoft.com/technet/security/tools/locktool.mspx)
  • Svagheden kan kun udnyttes fra et andet sted, hvis en angriber kan etablere en websession med en server, der påvirkes.
Tilbage til toppen | Send feedback

Løsning

Oplysninger om servicepakker

Windows 2000

Hvis du vil løse problemet, skal du anskaffe den nyeste servicepakke til Windows 2000. Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
260910
(http://support.microsoft.com/kb/260910/EN-US/ )
Sådan får du den nyeste service pack til Windows 2000

Oplysninger om sikkerhedsrettelse

Windows XP

Hent oplysninger
Følgende filer kan hentes på Microsoft Download Center:

Windows XP (alle sprog)
Skjul billedetUdvid billedet
Hent
Hent 815021-pakken nu
(http://microsoft.com/downloads/details.aspx?FamilyId=84FC577D-F2D5-47B8-AB98-77BA7501B00B&displaylang=en)
Windows XP 64-Bit Edition
Skjul billedetUdvid billedet
Hent
Hent 815021-pakken nu
(http://microsoft.com/downloads/details.aspx?FamilyId=97945A5D-DB0B-40F8-9A2E-DE93CBB5CB3A&displaylang=en)
Udgivelsesdato: 28. maj 2003

Yderligere oplysninger om, hvordan du henter filer fra Microsoft Support, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
119591
(http://support.microsoft.com/kb/119591/EN-US/ )
Sådan hentes Microsoft-supportfiler på onlinetjenester
Microsoft har scannet denne fil for virus. Dertil har Microsoft anvendt de nyeste antivirusprogrammer, der var tilgængelige på det tidspunkt, da filen blev lagt ud. Filen gemmes på servere med forbedret sikkerhed, der medvirker til at forhindre uautoriserede ændringer af filen.
Forudsætninger

Denne programrettelse skal installeres på den endelige version af Windows XP eller Windows XP Service Pack 1 (SP1). Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
322389
(http://support.microsoft.com/kb/322389/EN-US/ )
Sådan får du den nyeste service pack til Windows XP
Installationsoplysninger

Programrettelsen understøtter følgende installationsparametre:
  • /?: Vis liste over installationsparametre.
  • /u: Brug fuldautomatisk tilstand.
  • /f: Tving programmer til at afslutte, når computeren lukkes.
  • /n: Undlad at sikkerhedskopiere filer, der skal fjernes.
  • /o: Overskriv OEM-filer uden at spørge.
  • /z: Genstart ikke, når installationen er færdig.
  • /q: Brug installation uden brugerinput.
  • /l: Vis liste over installerede hotfixes.
  • /x: Udpak filerne uden at køre installationsprogrammet.
Hvis du f.eks. vil installere programrettelsen uden selv at foretage brugerinput og uden at tvinge computeren til at genstarte, skal du angive følgende kommando på kommandolinjen:
q815021_wxp_sp2_x86_enu /u /q /z
. Hvis du vil tjekke, at programrettelsen er installeret på computeren, skal du tjekke, at følgende nøgle findes i registreringsdatabasen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021
Oplysninger om fjernelse

Du kan fjerne denne opdatering ved at bruge værktøjet Tilføj/fjern programmer i Kontrolpanel.

Systemadministratorer kan bruge hjælpeprogrammet Spunist.exe til at fjerne denne programrettelse. Spuninst.exe er placeret i mappen %Windir%\$NTUninstallQ815021$\Spuninst og understøtter følgende installationsparametre:
  • /?: Vis liste over installationsparametre.
  • /u: Brug fuldautomatisk tilstand.
  • /f: Tving programmer til at afslutte, når computeren lukkes.
  • /z: Genstart ikke, når installationen er færdig.
  • /q: Brug installation uden brugerinput.
Krav om genstart

Du skal genstarte computeren, efter at du har anvendt denne programrettelse, da Ntdll.dll er en vigtig binær systemfil, der indlæses ved systemstart. Computeren er sårbar, indtil den genstartes.

Filoplysninger

Den engelske version af programrettelsen indeholder de filattributter, der er angivet i nedenstående tabel (eller nyere attributter). Dato og klokkeslæt for disse filer er angivet i UTC-format (Universal Time Coordinates). Når du får vist filoplysningerne, konverteres de til lokal tid. Brug fanen Tidszone under funktionen Dato og klokkeslæt i Kontrolpanel til at finde forskellen mellem UTC og lokal tid.

Windows XP
   Dato         Klokkeslæt   Version        Størrelse     Sti og filnavn
   ---------------------------------------------------------------------------------
   02-05-2003   15:03  5.1.2600.114   651.264  %Windir%\System32\Ntdll.dll  før SP1
   01-05-2003   20:56  5.1.2600.1217  654.336  %Windir%\System32\Ntdll.dll  med SP1

Windows XP 64-Bit Edition
   Dato         Klokkeslæt   Version        Størrelse     Sti og filnavn
   ------------------------------------------------------------------------------------
   02-05-2003   15:03  5.1.2600.114   1.498.112  %WinDir%\System32\Ntdll.dll   før SP1
   01-05-2003   14:57  5.1.2600.114     654.336  %WinDir%\System32\Wntdll.dll  før SP1
   01-05-2003   20:56  5.1.2600.1217  1.508.864  %WinDir%\System32\Ntdll.dll   med SP1
   30-04-2003   21:43  5.1.2600.1217    657.408  %WinDir%\System32\Wntdll.dll  med SP1
Du kan også kontrollere de filer, som blev installeret af programrettelsen, ved at få vist følgende nøgle i registreringsdatabasen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021\Filelist

Windows 2000

Oplysninger om overførsel

Følgende filer kan hentes på Microsoft Download Center:

Alle sprog undtagen japansk NEC
Skjul billedetUdvid billedet
Hent
Hent 815021-pakken nu
(http://www.microsoft.com/downloads/details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=en)
Japansk NEC
Skjul billedetUdvid billedet
Hent
Hent 815021-pakken nu
(http://www.microsoft.com/downloads/details.aspx?FamilyId=FBCF9847-D3D6-4493-8DCF-9BA29263C49F&displaylang=ja)
Udgivelsesdato: 17. marts 2003

Yderligere oplysninger om, hvordan du henter filer fra Microsoft Support, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
119591
(http://support.microsoft.com/kb/119591/EN-US/ )
Sådan hentes Microsoft-supportfiler på onlinetjenester
Microsoft har scannet denne fil for virus. Dertil har Microsoft anvendt de nyeste antivirusprogrammer, der var tilgængelige på det tidspunkt, da filen blev lagt ud. Filen gemmes på servere med forbedret sikkerhed, der medvirker til at forhindre uautoriserede ændringer af filen. Forudsætninger

Denne programrettelse kræver Windows 2000 Service Pack 2 (SP2) eller Windows 2000 Service Pack 3 (SP3). Yderligere oplysninger om, hvordan du anskaffer den nyeste servicepakke, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
260910
(http://support.microsoft.com/kb/260910/EN-US/ )
Sådan får du den nyeste service pack til Windows 2000
Bemærk! Hvis du bruger Windows 2000 Service Pack 2 (SP2), skal du læse advarslen i begyndelsen af denne artikel, før du anvender programrettelsen.

Installationsoplysninger

Programrettelsen understøtter følgende installationsparametre:
  • /?: Vis liste over installationsparametre.
  • /u: Brug fuldautomatisk tilstand.
  • /f: Tving programmer til at afslutte, når computeren lukkes.
  • /n: Undlad at sikkerhedskopiere filer, der skal fjernes.
  • /o: Overskriv OEM-filer uden at spørge.
  • /z: Genstart ikke, når installationen er færdig.
  • /q: Brug installation uden brugerinput.
  • /l: Vis liste over installerede hotfixes.
  • /x: Udpak filerne uden at køre installationsprogrammet.
Hvis du f.eks. vil installere programrettelsen uden selv at foretage brugerinput og uden at tvinge computeren til at genstarte, skal du bruge følgende kommando:
q815021_w2k_sp4_x86_en /u /q /z
Kontroller, at opdateringen er installeret på computeren, ved at bekræfte, at følgende registreringsnøgler findes:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021
Oplysninger om fjernelse

Du kan fjerne denne programrettelse ved at bruge værktøjet Tilføj/fjern programmer i Kontrolpanel til at fjerne "Windows 2000 Hotfix (SP4) Q815021".

Systemadministratorer kan bruge hjælpeprogrammet Spunist.exe til at fjerne denne programrettelse. Spuninst.exe findes i mappen %Windir%\$NTUninstallQ815021$\Spuninst, og den understøtter følgende installationsparametre:
  • /?: Vis liste over installationsparametre.
  • /u: Brug fuldautomatisk tilstand.
  • /f: Tving programmer til at afslutte, når computeren lukkes.
  • /z: Genstart ikke, når installationen er færdig.
  • /q: Brug installation uden brugerinput.
Krav om genstart

Du skal genstarte computeren, efter at du har anvendt denne programrettelse, da Ntdll.dll er en vigtig binær systemfil, der indlæses ved systemstart. Computeren er sårbar, indtil den genstartes.

Filoplysninger

Den engelske version af programrettelsen indeholder de filattributter, der er angivet i nedenstående tabel (eller nyere attributter). Dato og klokkeslæt for disse filer er angivet i UTC-format (Universal Time Coordinates). Når du får vist filoplysningerne, konverteres de til lokal tid. Brug fanen Tidszone under funktionen Dato og klokkeslæt i Kontrolpanel til at finde forskellen mellem UTC og lokal tid. 

   Dato         Klokkeslæt   Version        Størrelse     Sti og filnavn
   -----------------------------------------------------------------------
   15-03-2003   01:23  5.0.2195.6685  476.944  %Windir%\System32\Ntdll.dll

Du kan også kontrollere de filer, som blev installeret af programrettelsen, ved at få vist følgende registreringsnøgle:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021\Filelist
Tilbage til toppen | Send feedback

Windows NT 4.0 (alle versioner)

Microsoft Internet Information Server (IIS) er ikke beregnet til brug på Windows NT Server 4.0, Terminal Server Edition og understøttes ikke. Microsoft anbefaler, at kunder, som kører IIS 4.0 på Windows NT Server 4.0, Terminal Server Edition, fjerner IIS 4.0 for at beskytte deres system.

Oplysninger om overførsel

Følgende filer kan hentes på Microsoft Download Center:

Windows NT 4.0:

Alle sprog, undtagen japansk NEC og Hongkong-kinesisk:
Skjul billedetUdvid billedet
Hent
Hent 815021-pakken nu
(http://www.microsoft.com/downloads/details.aspx?FamilyId=9A64851A-05AE-4912-9967-3AA3B4D5A76F&displaylang=en)
Japansk NEC:
Skjul billedetUdvid billedet
Hent
Hent 815021-pakken nu
(http://www.microsoft.com/downloads/details.aspx?FamilyId=E20A695D-977D-4247-AF3B-4B58850B1795&displaylang=ja)
Hongkong-kinesisk:
Skjul billedetUdvid billedet
Hent
Hent 815021-pakken nu
(http://www.microsoft.com/downloads/details.aspx?FamilyId=55483A84-A8C7-48AF-BD83-9EC4B99F87CD&displaylang=zh-tw)
Windows NT Server 4.0, Terminal Server Edition:

Alle sprog:
Skjul billedetUdvid billedet
Hent
Hent 815021-pakken nu
(http://www.microsoft.com/downloads/details.aspx?FamilyId=AE57F47F-DC4D-40E9-8879-41A09767111F&displaylang=en)
Udgivelsesdato: 23. april 2003

Yderligere oplysninger om, hvordan du henter filer fra Microsoft Support, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
119591
(http://support.microsoft.com/kb/119591/EN-US/ )
Sådan hentes Microsoft-supportfiler på onlinetjenester
Microsoft har scannet denne fil for virus. Dertil har Microsoft anvendt de nyeste antivirusprogrammer, der var tilgængelige på det tidspunkt, da filen blev lagt ud. Filen gemmes på servere med forbedret sikkerhed, der medvirker til at forhindre uautoriserede ændringer af filen.

Forudsætninger

Denne programrettelse kræver Windows NT 4.0 Service Pack 6a (SP6a) eller Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6). Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
152734
(http://support.microsoft.com/kb/152734/EN-US/ )
Sådan får du den nyeste servicepakke til Windows NT 4.0 (artiklen er evt. på engelsk)


Installationsoplysninger

Programrettelsen understøtter følgende installationsparametre:
  • /y: Foretag fjernelse (kun med /m eller /q).
  • /f: Tving programmer til at afslutte, når systemet lukkes.
  • /n: Opret ikke en afinstallationsmappe.
  • /z: Genstart ikke, når opdateringen er fuldført.
  • /q: Brug Installation uden brugerinput eller Automatisk installation uden brugerinput. (Denne kontakt er et supersæt til /m .)
  • /m: Brug automatisk tilstand med brugerinput.
  • /l: Vis liste over installerede hotfixes.
  • /x: Udpak filerne uden at køre installationsprogrammet.
Du kan få bekræftet, om denne programrettelse er installeret på computeren, ved at kontrollere, om følgende nøgle findes:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q815021
Hvis du f.eks. vil installere programrettelsen uden selv at foretage brugerinput og uden at tvinge computeren til at genstarte, skal du bruge følgende kommando:
q815021i /q /z
Oplysninger om fjernelse

Du kan fjerne denne programrettelse ved at bruge værktøjet Tilføj/fjern programmer i Kontrolpanel.

Systemadministratorer kan bruge hjælpeprogrammet Spunist.exe til at fjerne denne programrettelse. Spuninst.exe findes i mappen %Windir%\$NTUninstallQ815021$\Spuninst, og den understøtter følgende installationsparametre:
  • /?: Vis liste over installationsparametre.
  • /u: Brug fuldautomatisk tilstand.
  • /f: Tving programmer til at afslutte, når computeren lukkes.
  • /z: Genstart ikke, når installationen er færdig.
  • /q: Brug installation uden brugerinput.
Krav om genstart

Du skal genstarte computeren, efter at du har anvendt denne programrettelse, da Ntdll.dll er en vigtig binær systemfil, der indlæses ved systemstart. Computeren er sårbar, indtil den genstartes.

Filoplysninger

Den engelske version af programrettelsen indeholder de filattributter, der er angivet i nedenstående tabel (eller nyere attributter). Dato og klokkeslæt for disse filer er angivet i UTC-format (Universal Time Coordinates). Når du får vist filoplysningerne, konverteres de til lokal tid. Brug fanen Tidszone under funktionen Dato og klokkeslæt i Kontrolpanel til at finde forskellen mellem UTC og lokal tid. 

   Dato         Klokkeslæt   Version    Størrelse     Sti og filnavn           Operativsystem
   ----------------------------------------------------------------------------------------
   24-03-2003   10:38  4.0.1381.7212   367.376  %WinDir%\System32\Ntdll.dll  Windows NT 4.0
   24-03-2003   07:12  4.0.1381.33546  369.936  %WinDir%\System32\Ntdll.dll  TSE

Tilbage til toppen | Send feedback

Status

Microsoft har bekræftet, at dette problem kan forårsage en vis sikkerhedsbrist i de Microsoft-produkter, der findes på listen i starten af denne artikel.

Kun Windows 2000

Problemet blev først rettet i Microsoft Windows 2000 Service Pack 4.
Tilbage til toppen | Send feedback

Yderligere Information

Yderligere oplysninger om denne svaghed finder du på følgende Microsoft-websted:
http://www.microsoft.com/technet/security/bulletin/MS03-007.asp
(http://www.microsoft.com/technet/security/bulletin/MS03-007.asp)


Hvis computeren har flere processorer, skal du køre værktøjet Microsoft Baseline Security Analyzer (MBSA) med parameteren /nosum for at deaktivere kontrol af kontrolsum. Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
320454
(http://support.microsoft.com/kb/320454/EN-US/ )
Microsoft Baseline Security Analyzer (MBSA) Version 1.1 er tilgængelig
Tilbage til toppen | Send feedback

Egenskaber

Artikel-id: 815021 - Seneste redigering: 1. december 2007 - Redigering: 14.1
Oplysningerne i denne artikel gælder:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional
Nøgleord: 
kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbqfe kbenv kbsecurity kbsecbulletin kbwinxppresp2fix kbwin2ksp4fix kbhotfixserver KB815021
Tilbage til toppen | Send feedback

Send feedback

 
Tilbage til toppenTilbage til toppen