MS03-007: Ikke kontrollert buffer i Windows-komponent kan forårsake webserverskade

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 815021 - Vis produkter som denne artikkelen gjelder for.
Microsoft ga opprinnelig ut denne artikkelen 17. mars 2003. På det tidspunktet var Microsoft klar over en offentlig tilgjengelig utnytting som ble brukt til å angripe Windows 2000-servere som kjører IIS 5.0. Angrepsvektoren i dette tilfellet var WebDAV, selv om det underliggende sikkerhetsproblemet var i en sentral operativsystemkomponent, Ntdll.dll. Microsoft ga ut en oppdatering for å beskytte Windows 2000-kunder kort etter, men fortsatte å undersøke det underliggende sikkerhetsproblemet. Windows NT 4.0 inneholder også det underliggende sikkerhetsproblemet i Ntdll.dll, men den støtter ikke WebDAV, og den kjente utnyttingen var derfor ikke effektiv mot Windows NT 4.0. Microsoft har nå gitt ut oppdateringer for Windows NT 4.0. I tillegg har Microsoft nylig fått rede på at dette sikkerhetsproblemet finnes i Windows XP. Men, i likhet med Windows NT 4.0, installerer ikke Windows XP Internet Information Services (IIS) som standard. Den 28. mai 2003 ga Microsoft ut en oppdatering for Windows XP og Windows XP Service Pack 1.

Advarsel!  Hvis du kjører Windows 2000 Service Pack 2 (SP2), må du kontrollere versjonen til Ntoskrnl.exe på datamaskinen din før du installerer denne oppdateringen. Du må da gjøre følgende:
  1. Åpne mappen %Windir%\System32.
  2. Høyreklikk Ntoskrnl.exe-filen, klikk Egenskaper og deretter Versjon-kategorien.
Versjonene fra 5.0.2195.4797 til 5.0.2195.4928 for Ntoskrnl.exe, er ikke kompatible med denne oppdateringen. Disse versjonene ble bare distribuert med hurtigreparasjonene til Microsofts Kundestøttetjeneste. Hvis du installerer oppdateringen som er beskrevet i denne artikkelen, på en datamaskin med en Ntoskrnl.exe-versjon mellom 5.0.2195.4797 og 5.0.2195.4928, vil datamaskinen slutte å svare med meldingen Stop 0x00000071 når du starter maskinen på nytt. Hvis dette skjer, må du reparere Windows-installasjonen ved hjelp av gjenopprettingskonsollen for Windows 2000 og sikkerhetskopien av Ntdll.dll-filen, som er lagret i mappen Winnt\$NTUninstallQ815021$.

Hvis du vil oppdatere en datamaskin som har en versjon av Ntoskrnl.exe som ble distribuert av Microsofts Kundestøttetjeneste, må du først kontakte Microsofts Kundestøttetjeneste før du bruker denne oppdateringen. Hvis du vil ha en fullstendig liste over telefonnumre for Microsoft Kundestøtte og informasjon om støttekostnader, besøker du følgende webområde for Microsoft:
http://support.microsoft.com/selectassist
Eller du kan oppgradere til Windows 2000 Service Pack 3 (SP3) før du installerer denne oppdateringen.
Vis alt | Skjul alt

På denne siden

Symptom

Windows 2000 støtter protokollen World Wide Web Distributed Authoring and Versioning (WebDAV). WebDAV, som beskrevet i RFC 2518, er et sett med utvidelser for Hypertext Transfer Protocol (HTTP) som gir en standard for redigering og filbehandling mellom datamaskiner på Internett. Hvis du vil se RFC 2518, besøker du følgende webområde for RFC:
ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt
Microsoft har kontaktopplysninger om tredjeparter som hjelper deg med å finne teknisk brukerstøtte. Disse kontaktopplysningene kan endres uten forvarsel. Microsoft garanterer ikke nøyaktigheten i disse kontaktopplysningene om tredjeparter.

Det finnes et sikkerhetsproblem i en Windows-komponent som brukes av WebDAV. Dette sikkerhetsproblemet oppstår fordi komponenten inneholder en ukontrollert buffer.

En person med urederlige hensikter kan utnytte sikkerhetsproblemet ved å sende en spesielt utformet HTTP-forespørsel til en datamaskin som kjører Microsoft Internet Information Services (IIS). Forespørselen kan forårsake feil på serveren eller at koden til den ondsinnede brukeren kjøres. Koden ville blitt kjørt i sikkerhetskonteksten for IIS-tjenesten. (Som standard kjører IIS-tjenesten i LocalSystem-konteksten).

Selv om Microsoft har utgitt en oppdatering for dette sikkerhetsproblemet og anbefaler at du installerer den umiddelbart, finnes det tilleggsverktøy og forebyggende tiltak tilgjengelig som du kan bruke til å blokkere utnyttelsen av dette sikkerhetsproblemet mens du vurderer virkningen og kompatibiliteten til oppdateringen. Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
816930 MS03-007: Slik håndterer du sikkerhetsproblemet som er diskutert i artikkel 815021 i Microsoft Knowledge Base

Begrensende faktorer

  • Standardkonfigurasjonen for URLScan forhindrer at sårbarheten utnyttes. URLScan er en del av IIS Lockdown-verktøyet. Hvis du vil ha mer informasjon om URLScan, går du til følgende Microsoft-webområde:
    http://www.microsoft.com/technet/security/URLScan.asp
    Hvis du vil ha mer informasjon om IIS Lockdown-verktøyet, kan du besøke følgende webområde:
    http://www.microsoft.com/technet/security/alerts/info/via.mspx
  • Sikkerhetsproblemet kan bare utnyttes eksternt hvis den ondsinnede brukeren kan opprette en webøkt med en berørt server.

Løsning

Informasjon om oppdateringspakke for

Windows 2000

For å løse dette problemet anskaffer du den siste oppdateringspakken for Microsoft Windows 2000. Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
260910 Slik får du tak i den seneste oppdateringspakken for Windows 2000

Informasjon om sikkerhetsoppdatering for

Windows XP

Informasjon om nedlasting
Følgende filer kan lastes ned fra Microsoft Download Center:

Windows XP (alle språk)
Skjul dette bildetVis dette bildet
Last ned
Last ned 815021-pakken nå.
Windows XP 64-biters versjon
Skjul dette bildetVis dette bildet
Last ned
Last ned 815021-pakken nå.
Utgivelsesdato: 28. mai 2003

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base:
119591 Slik laster du ned Microsoft-støttefiler fra elektroniske tjenester
Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet som forhindrer at uvedkommende gjør endringer i filen.
Forutsetninger

Denne oppdateringen krever den utgitte versjonen av Windows XP eller Windows XP Service Pack 1 (SP1). Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
322389 Slik henter du siste versjon av Windows XP Service Pack
Installasjonsinformasjon

Denne oppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:
  • /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
  • /u : Bruk uovervåket modus.
  • /f : Tving andre programmer til å avslutte når datamaskinen avsluttes.
  • /n : Ikke sikkerhetskopier filer som skal fjernes.
  • /o : Skriv over OEM-filer uten å spørre.
  • /z : Ikke start maskinen på nytt når installasjonen er fullført.
  • /q : Bruk stille modus (ingen brukermedvirkning).
  • /l : List opp installerte hurtigreparasjoner.
  • /x : Pakk ut filene uten å kjøre installasjonsprogrammet.
Skal du for eksempel installere oppdateringen uten brukeravbrudd og ikke vil tvinge maskinen til å starte på nytt, bruker du følgende kommandolinje:
q815021_wxp_sp2_x86_enu /u /q /z
Hvis du vil ha bekreftelse på at oppdateringen er installert på maskinen, kontrollerer du at følgende registernøkkel finnes:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021
Informasjon om fjerning

Hvis du vil fjerne denne oppdateringen, bruker du verktøyet Legg til / fjern programmer i Kontrollpanel.

Systemansvarlige kan bruke Spuninst.exe-verktøyet til å fjerne denne oppdateringen. Spuninst.exe finnes i mappen %Windir%\$NTUninstallQ815021$\Spuninst, og den støtter følgende kommandolinjebrytere for installasjonsprogrammet:
  • /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
  • /u : Bruk uovervåket modus.
  • /f : Tving andre programmer til å avslutte når datamaskinen avsluttes.
  • /z : Ikke start maskinen på nytt når installasjonen er fullført.
  • /q : Bruk stille modus (ingen brukermedvirkning).
Omstartskrav

Du må starte maskinen på nytt etter at du har oppdatert fordi Ntdll.dll er en sentral systembinærfil som lastes under oppstart. Datamaskinen er sårbar inntil du starter den på nytt.

Filinformasjon

Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene (eller senere) som er oppført i følgende tabell. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du Tidssone-kategorien i verktøyet Dato og klokkeslett i Kontrollpanel.

Windows XP
   Dato         Klokkeslett   Versjon        Størrelse     Bane- og filnavn
   ---------------------------------------------------------------------------------
   02-mai-2003  15:03  5.1.2600.114   651 264  %Windir%\System32\Ntdll.dll  pre-SP1
   01-mai-2003  20:56  5.1.2600.1217  654 336  %Windir%\System32\Ntdll.dll  med SP1

Windows XP 64-biters versjon
   Dato         Klokkeslett   Versjon        Størrelse       Bane- og filnavn
   ------------------------------------------------------------------------------------
   02-mai-2003  15:03  5.1.2600.114   1 498 112  %WinDir%\System32\Ntdll.dll   før-SP1
   01-mai-2003  14:57  5.1.2600.114     654 336  %WinDir%\System32\Wntdll.dll  før-SP1
   01-mai-2003  20:56  5.1.2600.1217  1 508 864  %WinDir%\System32\Ntdll.dll   med SP1
   30-apr-2003  21:43  5.1.2600.1217    657 408  %WinDir%\System32\Wntdll.dll  med SP1
Du kan også kontrollere filene som oppdateringen installerte, ved å sjekke følgende registernøkkel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021\Filelist

Windows 2000

Informasjon om nedlasting

Følgende filer kan lastes ned fra Microsoft Download Center:

Alle språk bortsett fra japansk NEC
Skjul dette bildetVis dette bildet
Last ned
Last ned 815021-pakken nå.
Japansk NEC:
Skjul dette bildetVis dette bildet
Last ned
Last ned 815021-pakken nå.
Utgivelsesdato: 17. mars 2003

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base:
119591 Slik laster du ned Microsoft-støttefiler fra elektroniske tjenester
Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet som forhindrer at uvedkommende gjør endringer i filen. Forutsetninger

Denne oppdateringen krever Windows 2000 Service Pack 2 (SP2) eller Windows 2000 Service Pack 3 (SP3). Hvis du vil ha mer informasjon om hvordan du får tak i den nyeste oppdateringspakken, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base:
260910 Slik får du tak i den seneste oppdateringspakken for Windows 2000
Obs!  Hvis du bruker Windows 2000 Service Pack 2 (SP2), må du lese advarselen i begynnelsen på denne artikkelen før du oppdaterer.

Installasjonsinformasjon

Denne oppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:
  • /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
  • /u : Bruk uovervåket modus.
  • /f : Tving andre programmer til å avslutte når datamaskinen avsluttes.
  • /n : Ikke sikkerhetskopier filer som skal fjernes.
  • /o : Skriv over OEM-filer uten å spørre.
  • /z : Ikke start maskinen på nytt når installasjonen er fullført.
  • /q : Bruk stille modus (ingen brukermedvirkning).
  • /l : List opp installerte hurtigreparasjoner.
  • /x : Pakk ut filene uten å kjøre installasjonsprogrammet.
Hvis du for eksempel vil installere oppdateringen uten noen brukermedvirkning og deretter ikke vil tvinge datamaskinen til å starte på nytt, bruker du følgende kommandolinje:
q815021_w2k_sp4_x86_en /u /q /z
Hvis du vil ha bekreftelse på at oppdateringen er installert på maskinen, kontrollerer du om følgende registernøkkel finnes:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021
Informasjon om fjerning

Du kan fjerne oppdateringen ved å bruke verktøyet Legg til / Fjern programmer i Kontrollpanel, til å fjerne Windows 2000 Hotfix (SP4) Q815021.

Systemansvarlige kan bruke Spuninst.exe-verktøyet til å fjerne denne oppdateringen. Spuninst.exe ligger i mappen %Windir%\$NTUninstallQ815021$\Spuninst og støtter følgende kommandolinjebrytere:
  • /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
  • /u : Bruk uovervåket modus.
  • /f : Tving andre programmer til å avslutte når datamaskinen avsluttes.
  • /z : Ikke start maskinen på nytt når installasjonen er fullført.
  • /q : Bruk stille modus (ingen brukermedvirkning).
Omstartskrav

Du må starte maskinen på nytt etter at du har oppdatert fordi Ntdll.dll er en sentral systembinærfil som lastes under oppstart. Datamaskinen er sårbar inntil du starter den på nytt.

Filinformasjon

Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene (eller senere) som er oppført i følgende tabell. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du Tidssone-kategorien i verktøyet Dato og klokkeslett i Kontrollpanel.

   Dato         Klokkeslett   Versjon        Størrelse     Bane- og filnavn
   -----------------------------------------------------------------------
   15-mar-2003  01:23  5.0.2195.6685  476 944  %Windir%\System32\Ntdll.dll

Du kan også kontrollere filene som ble installert med denne oppdateringen, ved å se gjennom følgende registernøkkel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021\Filelist

Windows NT 4.0 (alle versjoner)

Microsoft Internet Information Server (IIS) er ikke ment å brukes sammen med Windows NT Server 4.0, Terminal Server Edition, og støttes ikke. Microsoft anbefaler at kunder som kjører IIS 4.0 på Windows NT Server 4.0, Terminal Server Edition, beskytter systemene ved å fjerne IIS 4.0.

Nedlastingsinformasjon

Følgende filer kan lastes ned fra Microsoft Download Center:

Windows NT 4.0

Alle språk unntatt japansk NEC og kinesisk - Hongkong:
Skjul dette bildetVis dette bildet
Last ned
Last ned 815021-pakken nå.
Japansk NEC:
Skjul dette bildetVis dette bildet
Last ned
Last ned 815021-pakken nå.
Kinesisk - Hongkong:
Skjul dette bildetVis dette bildet
Last ned
Last ned 815021-pakken nå.
Windows NT Server 4.0, Terminal Server Edition:

Alle språk:
Skjul dette bildetVis dette bildet
Last ned
Last ned 815021-pakken nå.
Utgivelsesdato: 23. april 2003

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base:
119591 Slik laster du ned Microsoft-støttefiler fra elektroniske tjenester
Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet som forhindrer at uvedkommende gjør endringer i filen.

Forutsetninger

Denne oppdateringen krever Windows NT 4.0 Service Pack 6a (SP6a) eller Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6). Hvis du vil ha mer informasjon, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base:
152734 Slik får du tak i den seneste oppdateringspakken for Windows NT 4.0
(Denne artikkelen kan være på engelsk)

Installasjonsinformasjon

Denne oppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:
  • /y : Utfør fjerning (bare med /m eller /q ).
  • /f : Tving programmer til å lukkes når maskinen slås av.
  • /n : Ikke opprett en avinstallasjonsmappe.
  • /z : Ikke start på nytt når oppdateringen er fullført.
  • /q : Bruk stille eller uovervåket modus uten brukergrensesnitt. (Bryteren er et overordnet sett for /m .)
  • /m : Bruk uovervåket modus med brukergrensesnitt.
  • /l : List opp installerte hurtigreparasjoner.
  • /x : Pakk ut filene uten å kjøre installasjonsprogrammet.
Hvis du vil kontrollere at oppdateringen er installert på datamaskinen, bekrefter du at følgende registernøkkel finnes:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q815021
Hvis du for eksempel vil installere oppdateringen uten noen brukermedvirkning og deretter ikke vil tvinge datamaskinen til å starte på nytt, bruker du følgende kommandolinje:
q815021i /q /z
Informasjon om fjerning

Hvis du vil fjerne denne oppdateringen, bruker du verktøyet Legg til / fjern programmer i Kontrollpanel.

Systemansvarlige kan bruke Spuninst.exe-verktøyet til å fjerne denne oppdateringen. Spuninst.exe ligger i mappen %Windir%\$NTUninstallQ815021$\Spuninst og støtter følgende kommandolinjebrytere:
  • /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
  • /u : Bruk uovervåket modus.
  • /f : Tving andre programmer til å avslutte når datamaskinen avsluttes.
  • /z : Ikke start maskinen på nytt når installasjonen er fullført.
  • /q : Bruk stille modus (ingen brukermedvirkning).
Omstartskrav

Du må starte maskinen på nytt etter at du har oppdatert fordi Ntdll.dll er en sentral systembinærfil som lastes under oppstart. Datamaskinen er sårbar inntil du starter den på nytt.

Filinformasjon

Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene (eller senere) som er oppført i følgende tabell. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du Tidssone-kategorien i verktøyet Dato og klokkeslett i Kontrollpanel.

   Dato         Klokkeslett   Versjon         Størrelse     Bane- og filnavn           OS
   ----------------------------------------------------------------------------------------
   24-mar-2003  10:38  4.0.1381.7212   367 376  %WinDir%\System32\Ntdll.dll  Windows NT 4.0
   24-mar-2003  07:12  4.0.1381.33546  369 936  %WinDir%\System32\Ntdll.dll  TSE

Status

Microsoft har bekreftet at dette problemet kan forårsake et visst sikkerhetsproblem i Microsoft-produktene som er oppført i begynnelsen av denne artikkelen.

Bare Windows 2000

Denne feilen ble først rettet opp i Microsoft Windows 2000 Service Pack 4.

Mer informasjon

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, går du til følgende Microsoft-webområde:
http://www.microsoft.com/technet/security/bulletin/MS03-005.asp


Hvis maskinen har flere prosessorer, må du kjøre verktøyet Microsoft Baseline Security Analyzer (MBSA) med /nosum-bryteren for å deaktivere kontroll av kontrollsummer. Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
320454 Microsoft Baseline Security Analyzer (MBSA) versjon 1.1 er tilgjengelig

Egenskaper

Artikkel-ID: 815021 - Forrige gjennomgang: 31. januar 2007 - Gjennomgang: 13.1
Informasjonen i denne artikkelen gjelder:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows XP 64-Bit Edition
  • Microsoft Windows XP Professional
Nøkkelord: 
kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbqfe kbenv kbsecurity kbsecbulletin kbwinxppresp2fix kbwin2ksp4fix kbhotfixserver KB815021

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com