MS03-007: Ongecontroleerde buffer in Windows-onderdeel kan ernstige bedreiging voor webserver vormen

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 815021 - Bekijk de producten waarop dit artikel van toepassing is.
Microsoft bracht dit artikel oorspronkelijk uit op 17 maart 2003. Microsoft wist op dat moment van het bestaan van openbare aanvallen op Windows 2000-servers waarop IIS 5.0 wordt uitgevoerd. De zwakke plek was in dit geval WebDAV, hoewel het onderliggende beveiligingslek zich bevond in Ntdll.dll, een basisonderdeel van het besturingssysteem. Microsoft bracht kort daarna een patch uit om Windows 2000-klanten te beschermen en ging ondertussen door met het onderzoek naar het onderliggende beveiligingslek. Ook in Windows NT 4.0 is Ntdll.dll het onderliggende beveiligingslek, maar de aanval op Windows NT 4.0 had geen effect omdat WebDAV niet wordt ondersteund. Microsoft heeft nu patches uitgebracht voor Windows NT 4.0. Ook heeft Microsoft onlangs hetzelfde beveiligingslek ontdekt in Windows XP. Net als in Windows NT 4.0 wordt IIS (Internet Information Services) echter niet standaard in Windows XP ge´nstalleerd. Op 28 mei 2003 heeft Microsoft een patch uitgebracht voor Windows XP en Windows XP Service Pack 1.

Waarschuwing Als u Windows 2000 met Service Pack 2 (SP2) gebruikt, moet u de versie van het bestand Ntoskrnl.exe op uw computer controleren voordat u deze patch installeert. Ga hiervoor als volgt te werk:
  1. Open de map %Windir%\System32.
  2. Klik met de rechtermuisknop op het bestand Ntoskrnl.exe, kies Eigenschappen en open het tabblad Versie.
Versies 5.0.2195.4797 tot en met 5.0.2195.4928 van Ntoskrnl.exe zijn niet compatibel met deze patch. Deze versies werden alleen gedistribueerd met hotfixes van Microsoft Product Support Services. Als u de patch uit dit artikel installeert op een computer met een versie van Ntoskrnl.exe tussen 5.0.2195.4797 en 5.0.2195.4928, loopt de computer na het opnieuw opstarten vast met het bericht 'Stop 0x00000071'. Als dit gebeurt, moet u de Windows-installatie herstellen met behulp van de herstelconsole van Windows 2000 en de reservekopie van het bestand Ntdll.dll (in de map Winnt\$NTUninstallQ815021$).

Als u een computer wilt bijwerken waarop een versie van Ntoskrnl.exe is ge´nstalleerd die is gedistribueerd door Microsoft Product Support Services, moet u eerst contact opnemen met Microsoft Product Support Services. Een volledige lijst met telefoonnummers van Microsoft Product Support Services en informatie over kosten van ondersteuning vindt u op de volgende Microsoft-website:
http://support.microsoft.com/default.aspx?scid=%2fdirectory%2fworldwide%2fnl%2ftelefoon%2fdefault.asp
U kunt ook eerst Service Pack 3 (SP3) voor Windows 2000 installeren voordat u deze patch toepast.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Symptomen

Windows 2000 biedt ondersteuning voor het protocol WebDAV (World Wide Web Distributed Authoring and Versioning). WebDAV, zoals omschreven in RFC 2518, bestaat uit een set extensies van HTTP (Hypertext Transfer Protocol) die een standaard vormen voor het bewerken en beheren van bestanden tussen computers op internet. Bezoek de volgende RFC-website om RFC 2518 te bekijken:
ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt
Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder aankondiging worden gewijzigd. Microsoft kan derhalve niet instaan voor de juistheid van deze contactinformatie.

Er is een beveiligingslek geconstateerd in een Windows-onderdeel dat wordt gebruikt door WebDAV. De oorzaak van het lek is een ongecontroleerde buffer in het onderdeel.

Een aanvaller kan gebruikmaken van dit beveiligingslek door een HTTP-verzoek met een speciale indeling te maken en dit verzoek te versturen naar een computer met Microsoft Internet Information Services (IIS). Het verzoek kan tot gevolg hebben dat de server uitvalt of dat bepaalde code wordt uitgevoerd op de server. Deze code wordt uitgevoerd in de beveiligde context van de IIS-service. (De service IIS wordt standaard uitgevoerd in de context LocalSystem.)

Hoewel Microsoft een patch heeft ontwikkeld voor dit probleem en u adviseert deze patch onmiddellijk te installeren, zijn er andere hulpmiddelen en preventieve maatregelen beschikbaar waarmee u de beveiliging van uw computer kunt herstellen terwijl u de invloed en compatibiliteit van de patch analyseert. Klik voor meer informatie op het volgende artikelnummer in de Microsoft Knowledge Base:
816930 MS03-007: Het beveiligingslek omzeilen dat wordt beschreven in artikel 815021 van de Microsoft Knowledge Base

Beperkende factoren

  • De standaardconfiguratie van URLScan zorgt ervoor dat beveiligingslek niet kan worden misbruikt door aanvallers. URLScan maakt deel uit van het hulpprogramma IIS Lockdown. Als u meer informatie wilt over URLScan, gaat u naar de volgende Microsoft-website:
    http://www.microsoft.com/technet/security/URLScan.asp
    Als u meer informatie wilt over het hulpprogramma IIS Lockdown, gaat u naar de volgende Microsoft-website:
    http://www.microsoft.com/technet/security/tools/locktool.mspx
  • Het beveiligingslek kan alleen extern worden misbruikt als een aanvaller een websessie tot stand kan brengen met de server waarop de beveiliging niet optimaal is.

Oplossing

Informatie over het service pack

Windows 2000

U lost dit probleem op door het meest recente service pack voor Microsoft Windows 2000 op te halen. In het volgende Microsoft Knowledge Base-artikel vindt u meer informatie:
260910 Het meest recente Windows 2000 Service Pack ophalen

Informatie over de beveiligingspatch

Windows XP

Downloaden
U kunt de volgende bestanden downloaden van het Microsoft Downloadcentrum:

Windows XP (alle talen)
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket 815021 nu downloaden.
Windows XP 64-bits editie
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket 815021 nu downloaden.
Releasedatum: 28.05.03

Voor meer informatie over het downloaden van Microsoft-ondersteuningsbestanden klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand beschikbaar werd gesteld. Het bestand is ondergebracht op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen verhinderen.
Vereisten

Voor deze patch is de officiŰle versie van Windows XP of Windows XP Service Pack 1 (SP1) vereist. Klik voor meer informatie op het volgende artikelnummer in de Microsoft Knowledge Base:
322389 Het meest recente Windows XP Service Pack ophalen
Installatiegegevens

Deze patch kan worden ge´nstalleerd met de volgende Setup-schakelopties:
  • /?: De lijst met schakelopties voor de installatie weergeven.
  • /u: De modus zonder toezicht gebruiken.
  • /f: Andere programma's geforceerd afsluiten wanneer de computer wordt afgesloten.
  • /n: Geen reservekopie maken van bestanden die worden verwijderd.
  • /o: OEM-bestanden zonder waarschuwing overschrijven.
  • /z: De computer niet opnieuw opstarten wanneer de installatie is voltooid.
  • /q: Stille modus gebruiken (geen tussenkomst van de gebruiker).
  • /l: Ge´nstalleerde hotfixes weergeven.
  • /x: De bestanden uitpakken zonder Setup uit te voeren.
Als u bijvoorbeeld de patch zonder tussenkomst van de gebruiker wilt installeren, en wilt aangeven dat de computer niet opnieuw moet worden opgestart, gebruikt u de volgende opdrachtregel:
q815021_wxp_sp2_x86_enu /u /q /z
U kunt controleren of de patch op uw computer is ge´nstalleerd door naar de volgende registersleutel te zoeken:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021
Verwijderen

U kunt deze update verwijderen met de optie Software in het Configuratiescherm.

Systeembeheerders kunnen deze patch verwijderen met het hulpprogramma Spunist.exe. Spuninst.exe bevindt zich in de map %Windir%\$NTUninstallQ815021$\Spuninst en kan worden gestart met de volgende schakelopties:
  • /?: De lijst met schakelopties voor de installatie weergeven.
  • /u: De modus zonder toezicht gebruiken.
  • /f: Andere programma's geforceerd afsluiten wanneer de computer wordt afgesloten.
  • /z: De computer niet opnieuw opstarten wanneer de installatie is voltooid.
  • /q: Stille modus gebruiken (geen tussenkomst van de gebruiker).
Computer opnieuw opstarten

De computer moet na het toepassen van deze patch opnieuw worden opgestart. De reden hiervoor is dat Ntdll.dll een binair bestand van het kernsysteem is dat wordt geladen tijdens het opstarten van de computer. De computer is kwetsbaar totdat u de computer opnieuw hebt opgestart.

Bestandsgegevens

De Engelse versie van deze correctie heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere kenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van de optie Datum en tijd in het Configuratiescherm.

Windows XP
   Datum        Tijd   Versie         Grootte  Pad en bestandsnaam
   ---------------------------------------------------------------------------------
   02-mei-2003  15:03  5.1.2600.114   651.264  %Windir%\System32\Ntdll.dll  pre-SP1
   01-mei-2003  20:56  5.1.2600.1217  654.336  %Windir%\System32\Ntdll.dll  with SP1

Windows XP 64-bits editie
   Datum        Tijd   Versie         Grootte    Pad en bestandsnaam
   ------------------------------------------------------------------------------------
   02-mei-2003  15:03  5.1.2600.114   1.498.112  %WinDir%\System32\Ntdll.dll   pre-SP1
   01-mei-2003  14:57  5.1.2600.114     654.336  %WinDir%\System32\Wntdll.dll  pre-SP1
   01-mei-2003  20:56  5.1.2600.1217  1.508.864  %WinDir%\System32\Ntdll.dll   with SP1
   30-apr-2003  21:43  5.1.2600.1217    657.408  %WinDir%\System32\Wntdll.dll  with SP1
U kunt ook de volgende registersleutel bekijken om te controleren welke bestanden met deze patch zijn ge´nstalleerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021\Filelist

Windows 2000

Downloaden

U kunt de volgende bestanden downloaden van het Microsoft Downloadcentrum:

Alle talen behalve NEC Japans
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket 815021 nu downloaden.
NEC Japans
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket 815021 nu downloaden.
Releasedatum: 17.03.03

Voor meer informatie over het downloaden van Microsoft-ondersteuningsbestanden klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand beschikbaar werd gesteld. Het bestand is ondergebracht op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen tegengaan. Vereisten

Deze patch vereist Windows 2000 Service Pack 2 (SP2) of Windows 2000 Service Pack 3 (SP3). Als u meer informatie wilt over het ophalen van het laatste service pack, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
260910 Het meest recente Windows 2000 Service Pack ophalen
Opmerking Als u Windows 2000 met Service Pack 2 (SP2) gebruikt, moet u de waarschuwing aan het begin van dit artikel lezen voordat u deze patch toepast.

Installatiegegevens

Deze patch kan worden ge´nstalleerd met de volgende Setup-schakelopties:
  • /?: De lijst met schakelopties voor de installatie weergeven.
  • /u: De modus zonder toezicht gebruiken.
  • /f: Andere programma's geforceerd afsluiten wanneer de computer wordt afgesloten.
  • /n: Geen reservekopie maken van bestanden die worden verwijderd.
  • /o: OEM-bestanden zonder waarschuwing overschrijven.
  • /z: De computer niet opnieuw opstarten wanneer de installatie is voltooid.
  • /q: Stille modus gebruiken (geen tussenkomst van de gebruiker).
  • /l: Ge´nstalleerde hotfixes weergeven.
  • /x: De bestanden uitpakken zonder Setup uit te voeren.
Als u bijvoorbeeld de patch zonder tussenkomst van de gebruiker wilt installeren en wilt aangeven dat de computer niet opnieuw moet worden opgestart, gebruikt u de volgende opdrachtregel:
q815021_w2k_sp4_x86_en /u /q /z
U kunt controleren of de patch op uw computer ge´nstalleerd is door naar de volgende registersleutel te zoeken:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021
Verwijderen

U kunt deze patch verwijderen door met de optie Software in het Configuratiescherm het onderdeel 'Windows 2000 Hotfix (SP4) Q815021' te verwijderen.

Systeembeheerders kunnen deze patch verwijderen met het hulpprogramma Spunist.exe. Spuninst.exe bevindt zich in de map %Windir%\$NTUninstallQ815021$\Spuninst en kan worden gestart met de volgende schakelopties:
  • /?: De lijst met schakelopties voor de installatie weergeven.
  • /u: De modus zonder toezicht gebruiken.
  • /f: Andere programma's geforceerd afsluiten wanneer de computer wordt afgesloten.
  • /z: De computer niet opnieuw opstarten wanneer de installatie is voltooid.
  • /q: Stille modus gebruiken (geen tussenkomst van de gebruiker).
Computer opnieuw opstarten

De computer moet na het toepassen van deze patch opnieuw worden opgestart. De reden hiervoor is dat Ntdll.dll een binair bestand van het kernsysteem is dat wordt geladen tijdens het opstarten van de computer. De computer is kwetsbaar totdat u de computer opnieuw hebt opgestart.

Bestandsgegevens

De Engelse versie van deze correctie heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere kenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van de optie Datum en tijd in het Configuratiescherm.

   Datum        Tijd   Versie         Grootte  Pad en bestandsnaam
   -----------------------------------------------------------------------
   15-mrt-2003  01:23  5.0.2195.6685  476.944  %Windir%\System32\Ntdll.dll

U kunt ook de volgende registersleutel bekijken om te controleren welke bestanden met deze patch zijn ge´nstalleerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021\Filelist

Windows NT 4.0 (alle versies)

Microsoft Internet Information Server (IIS) is niet bedoeld voor gebruik op Windows NT Server 4.0 Terminal Server Edition en wordt om die reden niet ondersteund. Klanten die IIS 4.0 uitvoeren op Windows NT Server 4.0 Terminal Server Edition, wordt aangeraden hun systemen te beveiligen door IIS 4.0 te verwijderen.

Downloaden

U kunt de volgende bestanden downloaden van het Microsoft Downloadcentrum:

Windows NT 4.0:

Alle talen met uitzondering van NEC Japans en Chinees (Hong Kong):
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket 815021 nu downloaden.
NEC Japans:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket 815021 nu downloaden.
Chinees (Hong Kong):
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket 815021 nu downloaden.
Windows NT Server 4.0, Terminal Server Edition:

Alle talen:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket 815021 nu downloaden.
Releasedatum: 23.04.03

Voor meer informatie over het downloaden van Microsoft-ondersteuningsbestanden klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand beschikbaar werd gesteld. Het bestand is ondergebracht op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen verhinderen.

Vereisten

Voor deze patch is Windows NT 4.0 Service Pack 6a (SP6a) of Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6) vereist. Voor meer informatie klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
152734 De meest recente Windows NT 4.0 Service Pack ophalen


Installatiegegevens

Deze patch kan worden ge´nstalleerd met de volgende Setup-schakelopties:
  • /y: Verwijderen (alleen met /m of /q).
  • /f: Programma's geforceerd afsluiten tijdens het uitschakelen van de computer.
  • /n: Geen map Uninstall maken.
  • /z: Niet opnieuw opstarten nadat update is voltooid.
  • /q: De stille modus of de modus zonder toezicht gebruiken zonder gebruikersinterface. (Deze schakeloptie is een superset van /m .)
  • /m: De modus zonder toezicht gebruiken met gebruikersinterface.
  • /l: Ge´nstalleerde hotfixes weergeven.
  • /x: De bestanden uitpakken zonder Setup uit te voeren.
U kunt controleren of de patch op uw computer ge´nstalleerd is door naar de volgende registersleutel te zoeken:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q815021
Als u bijvoorbeeld de patch zonder tussenkomst van de gebruiker wilt installeren en wilt aangeven dat de computer niet opnieuw moet worden opgestart, gebruikt u de volgende opdrachtregel:
q815021i /q /z
Verwijderen

U kunt deze patch verwijderen met het onderdeel Software in het Configuratiescherm.

Systeembeheerders kunnen deze patch verwijderen met het hulpprogramma Spunist.exe. Spuninst.exe bevindt zich in de map %Windir%\$NTUninstallQ815021$\Spuninst en kan worden gestart met de volgende schakelopties:
  • /?: De lijst met schakelopties voor de installatie weergeven.
  • /u: De modus zonder toezicht gebruiken.
  • /f: Andere programma's geforceerd afsluiten wanneer de computer wordt afgesloten.
  • /z: De computer niet opnieuw opstarten wanneer de installatie is voltooid.
  • /q: Stille modus gebruiken (geen tussenkomst van de gebruiker).
Computer opnieuw opstarten

De computer moet na het toepassen van deze patch opnieuw worden opgestart. De reden hiervoor is dat Ntdll.dll een binair bestand van het kernsysteem is dat wordt geladen tijdens het opstarten van de computer. De computer is kwetsbaar totdat u de computer opnieuw hebt opgestart.

Bestandsgegevens

De Engelse versie van deze correctie heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere kenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van de optie Datum en tijd in het Configuratiescherm.

   Datum        Tijd   Versie          Grootte  Pad en Bestandsnaam          Besturingssysteem
   -------------------------------------------------------------------------------------------
   24-mrt-2003  10:38  4.0.1381.7212   367.376  %WinDir%\System32\Ntdll.dll  Windows NT 4.0
   24-mrt-2003  07:12  4.0.1381.33546  369.936  %WinDir%\System32\Ntdll.dll  TSE

Status

Microsoft heeft bevestigd dat dit probleem een beveiligingslek kan veroorzaken in de Microsoft-producten die aan het begin van dit artikel worden vermeld.

Alleen Windows 2000

In Windows 2000 Service Pack 4 werd voor het eerst een correctie aangeboden voor dit probleem.

Meer informatie

Als u meer informatie wilt over dit beveiligingslek, gaat u naar de volgende Microsoft-website:
http://www.microsoft.com/technet/security/bulletin/MS03-007.asp


Als u een computer met meerdere processors hebt, moet u het hulpprogramma Microsoft Baseline Security Analyzer (MBSA) uitvoeren met de schakeloptie /nosum om checksum-controles uit te schakelen. Klik voor meer informatie op het volgende artikelnummer in de Microsoft Knowledge Base:
320454 Nu beschikbaar: versie 1.1.1 van Microsoft Baseline Security Analyzer (MBSA)

Eigenschappen

Artikel ID: 815021 - Laatste beoordeling: zaterdag 1 december 2007 - Wijziging: 14.1
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows« 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
Trefwoorden:á
kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbwinxppresp2fix kbwin2ksp4fix kbhotfixserver KB815021

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com